腾讯云公告 > 公告详情
扫码查看公告
【安全通告】Oracle 重要安全补丁更新公告(2020年1月)
尊敬的腾讯云客户, 您好:
近日,腾讯云安全中心监测到 Oracle 发布了2020年1月安全补丁更新公告,一共涉及旗下各产品线的 334 个安全漏洞,攻击者可利用漏洞进行本地权限提升、远程代码执行等攻击。
为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
【漏洞详情】
经分析, 此次重要补丁更新披露了 Weblogic 组件存在的两个严重安全漏洞(CVE-2020-2551、CVE-2020-2546),CVSS评分高达 9.8 分,攻击者可利用该漏洞进行远程代码执行攻击。 详情描述如下:
CVE编号 | 影响产品 | 组件名 | 影响协议 | 是否无需认证远程可直接利用? | CVSS评分 | 受影响版本 |
CVE-2020-2551 | WebLogic Server | WLS Core Components | IIOP | 是 | 9.8 | 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 |
CVE-2020-2546 | WebLogic Server | Application Container - JavaEE | T3 | 是 | 9.8 | 10.3.6.0.0, 12.1.3.0.0 |
【风险等级】
高风险
【漏洞风险】
远程代码执行等影响
【影响版本】
此次影响较大的组件为:
Oracle WebLogic Server 10.3.6.0.0
Oracle WebLogic Server 12.1.3.0.0
Oracle WebLogic Server 12.2.1.3.0
Oracle WebLogic Server 12.2.1.4.0
【修复建议】
目前 Oracle官方已经发布补丁更新,建议您及时应用相关补丁更新。
临时缓解方案:
CVE-2020-2546:
如果不依赖T3协议进行JVM通信,禁用T3协议。操作如下:
1. 进入WebLogic控制台,在 base_domain配置页面中,进入安全选项卡页面,点击筛选器,配置筛选器;
2. 在连接筛选器中输入: weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入: 127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s(T3 和 T3S 协议的所有端口只允许本地访问);
3. 保存生效(需重启)
CVE-2020-2551:
可通过关闭IIOP协议对此漏洞进行缓解。操作如下:
1. 在 WebLogic 控制台中,选择“服务”->”AdminServer”->”协议”,取消“启用 IIOP”的勾选。
2. 重启 WebLogic 项目,使配置生效。
【漏洞参考】
2020-01-15