【风险通告】WebLogic 多个远程代码执行漏洞

[金山云安全](javascript:void(0)😉 今天

2020年10月21日,金山云安全应急响应中心监测到Oracle官方发布安全补丁,共修复420个漏洞,其中包括4个影响较大的Oracle Weblogic Server 远程代码执行漏洞。

此次修复的漏洞危害较大影响广泛,建议广大用户及时更新安全补丁或采取暂缓措施,避免被黑客攻击造成损失。

漏洞描述

WebLogic 是美国 Oracle 公司出品的 Java 应用服务器,WebLogic 是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用。

本次披露的WebLogic 远程代码执行漏洞中,其中有4个(CVE-2020-14841、CVE-2020-14859、CVE-2020-146825、CVE-2020-14882),未经授权的攻击者可以通过IIOP、T3或HTTP协议访问WebLogic Server利用此漏洞,成功利用该漏洞绕过WebLoig的反序列化黑名单可以接管WebLogic服务器。

风险等级

严重

影响版本

CVE编号协议影响版本
CVE-2020-14841IIOP10.3.6.0.012.1.3.0.012.2.1.3.012.2.1.4.014.1.1.0.0
CVE-2020-14859IIOP, T310.3.6.0.012.1.3.0.012.2.1.3.012.2.1.4.014.1.1.0.0
CVE-2020-146825IIOP, T312.2.1.3.012.2.1.4.014.1.1.0.0
CVE-2020-14882HTTP10.3.6.0.012.1.3.0.012.2.1.3.012.2.1.4.014.1.1.0.0

修复建议

1. 安装官方补丁修复漏洞:

https://www.oracle.com/security-alerts/cpuapr2020.html

2. 如不方便升级,可采取以下暂缓措施:

(1) 关闭T3协议。如果不依赖T3协议进行JVM通信,可通过暂时阻断T3协议缓解此漏洞带来的影响

a)进入WebLogic控制台,在base_domain配置页面中,进入“安全”选项卡页面,点击“筛选器”,配置筛选器。

b)在连接筛选器中输入:

WebLogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入:7001 deny t3 t3s。

c)保存生效(无需重启)。

(2)关闭IIOP。用户可通过关闭 IIOP 协议对相关漏洞进行缓解。操作如下:

进入WebLogic控制台,选择“服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选,并重启 WebLogic 项目,使配置生效。

(3) 临时关闭后台/console/console.portal对外访问

参考链接

[1] https://www.oracle.com/security-alerts/cpuoct2020.htm

转载自https://mp.weixin.qq.com/s/Xr20DCd-dFd4_ZVfq1Fk7A

admin-root 系统安全 web安全 安全架构
每个人都可以成为黑客,也许他就在你身边,也许...那就是未来的你
┃  ┏┃┃┃┏┛
┃  ━┛━┛┏┛  
━┛ ❤️  ━┛
本人小菜鸟一枚,公众号里有粉丝群和我的联系方式,有问题我会尽力解答的