【安全通告】Oracle Weblogic 多个远程代码执行漏洞风险通告(2020-7月补丁日)
摘要:
尊敬的腾讯云用户,您好!
近日,腾讯云安全运营中心监测到, 美国时间2020年7月14日,Oracle发布大规模的补丁更新,修补了多达433个新的安全漏洞,漏洞影响Oracle的多款产品 ,且多个漏洞CVSS评分高达9.8分,攻击者无需身份验证即可被远程利用。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
WebLogic 是美国 Oracle 公司出品的 Java 应用服务器,WebLogic 是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用。
在7月的安全更新中,CVSS的安全漏洞评分最高分为10.0,这意味着这类漏洞极容易被攻击者利用。而多个评分为9.8的漏洞影响从MySQL到针对Oracle Financial Services Applications的整整38个新安全补丁的各个产品。
此次受影响的漏洞中,包括了 8 个 Weblogic 相关的高危漏洞,CVSS评分均为 9.8,利用难度低,攻击者可利用实现远程代码执行。
风险等级
高风险
漏洞风险
多个漏洞无需认证即可远程利用
影响版本
Weblogic Server 10.3.6.0.0
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0
修复建议
Oracle官方已发布漏洞修复更新,腾讯云安全建议您:
1、更新安全补丁,Oracle官方补丁需要登录帐户后下载(https://login.oracle.com);
2、临时缓解方案:
一、如果不依赖T3协议进行JVM通信,建议禁用T3协议。操作如下:
1)进入WebLogic控制台,在 base_domain 配置页面中,进入安全选项卡页面,点击筛选器,配置筛选器;
2) 在连接筛选器中输入: weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入:
127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s(T3 和 T3S 协议的所有端口只允许本地访问)
3) 保存生效(需重启)
二、如业务未使用到,可关闭IIOP协议。操作如下:
在 Weblogic 控制台中,选择 “服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选。并重启 Weblogic 项目,使配置生效。
【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外
漏洞参考
1)官方更新通告:https://www.oracle.com/security-alerts/cpujul2020.html