【安全通告】Oracle Weblogic 多个远程代码执行漏洞风险通告(2020-10月补丁日)
摘要:
尊敬的腾讯云用户,您好!
近日,腾讯云安全运营中心监测到,Oracle 官方近日发布了2020年10月安全更新公告,修复了 Weblogic 等多个产品的高危漏洞,且多个漏洞 CVSS 评分高达 9.8 分,攻击者可利用这些漏洞进行远程代码执行攻击,获取系统控制权。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
Weblogic 是 Oracle 出品的用于构建和部署企业 Java EE 应用程序的中间件,常被企业用户应用于生产环境中。
此次官方披露了 Weblogic 多个高危漏洞,分别为:CVE-2019-17267,CVE-2020-14882,CVE-2020-14841,CVE-2020-14825,CVE-2020-14859,CVE-2020-14820,CVE-2020-14883,CVE-2020-14757,CVE-2020-11022,CVE-2020-9488。
由于 Weblogic 默认开启了 T3 协议,攻击者可轻松利用进行反序列化漏洞攻击,从而获取服务器权限执行恶意操作,因而风险指数较高,建议尽快修复。
风险等级
CVE-2019-17267 / CVE-2020-14882 / CVE-2020-14841 / CVE-2020-14825 / CVE-2020-14859:严重
CVE-2020-14820 / CVE-2020-14883 / CVE-2020-14757 / CVE-2020-11022:高风险
CVE-2020-9488:中风险
漏洞风险
攻击者可利用这些漏洞进行远程代码执行攻击,获取系统控制权。
影响版本
WebLogic 12.2.1.3.0
WebLogic 12.2.1.4.0
WebLogic 14.1.1.0.0
WebLogic 10.3.6.0.0
WebLogic 12.1.3.0.0
修复建议
Oracle 官方已发布漏洞修复更新,腾讯云安全建议您:
2、临时缓解方案:
一、如果不依赖T3协议进行JVM通信,建议禁用T3协议。操作如下:
1)进入 WebLogic 控制台,在 base_domain 配置页面中,进入安全选项卡页面,点击筛选器,配置筛选器;
2) 在连接筛选器中输入: weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入:
127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s(T3 和 T3S 协议的所有端口只允许本地访问)
3) 保存生效(需重启)
二、如业务未使用到,可关闭 IIOP 协议。操作如下:
在 Weblogic 控制台中,选择 “服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选。并重启 Weblogic 项目,使配置生效。
【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外
漏洞参考
