尊敬的腾讯云客户， 您好：       近日，腾讯云安全中心监测到 Oracle 发布了2020年1月安全补丁更新公告，一共涉及旗下各产品线的 334 个安全漏洞，攻击者可利用漏洞进行本地权限提升、远程代码执行等攻击。       为避免您的业务受影响，腾讯云安全中心建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。
 【漏洞详情】 经分析， 此次重要补丁更新披露了 Weblogic 组件存在的两个严重安全漏洞（CVE-2020-2551、CVE-2020-2546），CVSS评分高达 9.8 分，攻击者可利用该漏洞进行远程代码执行攻击。 详情描述如下：

【风险等级】  高风险 【漏洞风险】  远程代码执行等影响 【影响版本】  此次影响较大的组件为：  Oracle WebLogic Server 10.3.6.0.0  Oracle WebLogic Server 12.1.3.0.0  Oracle WebLogic Server 12.2.1.3.0  Oracle WebLogic Server 12.2.1.4.0
【修复建议】  目前 Oracle官方已经发布补丁更新，建议您及时应用相关补丁更新。  由于Oracle产品更新策略，Oracle官方补丁需要用户持有正版软件的许可账号进行下载安装，建议您持账号登陆 https://support.oracle.com 下载最新补丁。
  临时缓解方案：  CVE-2020-2546：  如果不依赖T3协议进行JVM通信，禁用T3协议。操作如下：  1. 进入WebLogic控制台，在 base_domain配置页面中，进入安全选项卡页面，点击筛选器，配置筛选器；  2. 在连接筛选器中输入： weblogic.security.net.ConnectionFilterImpl，在连接筛选器规则框中输入： 127.0.0.1 * * allow t3 t3s，0.0.0.0/0 * * deny t3 t3s（T3 和 T3S 协议的所有端口只允许本地访问）；  3. 保存生效（需重启）  CVE-2020-2551：  可通过关闭IIOP协议对此漏洞进行缓解。操作如下：  1. 在 WebLogic 控制台中，选择“服务”->”AdminServer”->”协议”，取消“启用 IIOP”的勾选。  2. 重启 WebLogic 项目，使配置生效。

【漏洞参考】  1）官方更新通告：https://www.oracle.com/security-alerts/cpujan2020.html