中共四川工商学院 直属机关第四支部委员会 关于纪检监察监督举报的公告
当前位置: 首页  > 通知公告

安全通告

安全通告

---Weblogic CVE-2020-2546CVE-2020-2551 漏洞预警

中国网安紧急预警 Weblogic 远程代码执行漏洞(CVE-2020-2546CVE-2020-2551),漏洞等级为严重,强烈建议及时安装补丁以避免受到损失。
漏洞名称:
Weblogic 远程代码执行漏洞
漏洞编号:
CVE-2020-2546CVE-2020-2551
漏洞等级:严重
漏洞概要:
CVE-2020-2546
该漏洞通过 T3 协议实现利用、 攻击者可通过此漏洞实现远程代码执行,
CVSS 评分均为 9.8。 利用复杂度低。
CVE-2020-2551
该漏洞可以绕过 Oracle 官方在 2019 10 月份发布的最新安全补丁。 攻击者可以通过 IIOP 协议远程访问 Weblogic Server 服务器上的远程接口,传入恶意数据,从而获取服务器权限并在未授权情况下远程执行任意代码。CVSS 评分 9.8
IIOP 协议以 Java 接口的形式对远程对象进行访问,默认启用。
受影响范围:
CVE-2020-2546
受影响版本
WebLogic Server 10.3.6.0.0
WebLogic Server 12.1.3.0.0

CVE-2020-2551
受影响版本
Weblogic Server 10.3.6.0.0
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
修复方案:
1Oracle 官方发布的安全更新补丁下载地址为:
https://www.oracle.com/security-alerts/cpujan2020verbose.html
注:Oracle 官方补丁需要用户持有正版软件的许可账号,使用该账号登陆https://support.oracle.com 后,可以下载最新补丁。
此次 Oracle 官方的 CPU,只发布了 12.2.1.4.0 版本的修复补丁,其他版本补丁将于 2020 1 31 日发布,请相关用户及时关注,在补丁发布后及时安装修复。
2、 缓解措施(在无法全范围的自动升级修补的情况下作为临时性解决方案)

若用户暂时不能安装最新补丁,可通过下列措施对漏洞进行临时防护:
CVE-2020-2546
用户可通过禁用 T3 协议,对此漏洞进行临时缓解,具体操作可参考下列链接“4.2.2 T3 协议访问控制”部分:
https://mp.weixin.qq.com/s/YWTSyEVunQUordwxThrGwA
CVE-2020-2551
可通过关闭 IIOP 协议对此漏洞进行缓解。 操作如下:在 Weblogic 控制台中,选择“服务”->AdminServer->”协议”,取消“启用 IIOP”的勾选。 并重启 Weblogic 项目,使配置生效。

上一篇:安全通告

下一篇:安全通告