等保门户网: 测评整改

Oracle多个产品安全漏洞通告

来源:admin 发布日期:2020-07-21


漏洞信息


漏洞描述

2020年7月14日,Oracle官方发布安全公告,修复了433个安全漏洞,涉及了Oracle Weblogic、Oracle Coherence等多款产品。其中包括四个评分为9.8的Oracle WebLogic Server反序列化漏洞(CVE-2020-14625、CVE-2020-14644、CVE-2020-14645 、CVE-2020-14687),两个评分为10的Oracle Communications Applications安全漏洞(CVE-2020-14701、CVE-2020-14606)。

Oracle WebLogic Server反序列化漏洞

这四个漏洞导致未经身份验证的攻击者通过IIOP、T3协议发送恶意请求,从而在Oracle WebLogic Server执行恶意代码。

Oracle Communications Applications安全漏洞

这两个漏洞无需身份验证即可远程利用。

修补建议 

目前厂商已发布补丁,下载链接:

https://www.oracle.com/security-alerts/cpujul2020.html

Weblogic临时修补建议:

1. 如果不依赖T3协议进行JVM通信,禁用T3协议。

  • 进入WebLogic控制台,在base_domain配置页面中,进入安全选项卡页面,点击筛选器,配置筛选器;

  • 在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入 7001 deny t3 t3s保存生效;

  • 重启Weblogic项目,使配置生效。

2. 如果不依赖IIOP协议进行JVM通信,禁用IIOP协议。

  • 进入WebLogic控制台,在base_domain配置页面中,进入安全选项卡页面;

  • 选择“服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选;

  • 重启Weblogic项目,使配置生效。

    来源:信息安全国家工程研究中心

【关闭】 【打印】

您是第 43865391 位访问者
沪ICP备 12039260号 京公网安备 11010802025578号