Oracle多个产品安全漏洞通告
漏洞信息
漏洞描述
2020年7月14日,Oracle官方发布安全公告,修复了433个安全漏洞,涉及了Oracle Weblogic、Oracle Coherence等多款产品。其中包括四个评分为9.8的Oracle WebLogic Server反序列化漏洞(CVE-2020-14625、CVE-2020-14644、CVE-2020-14645 、CVE-2020-14687),两个评分为10的Oracle Communications Applications安全漏洞(CVE-2020-14701、CVE-2020-14606)。
Oracle WebLogic Server反序列化漏洞
这四个漏洞导致未经身份验证的攻击者通过IIOP、T3协议发送恶意请求,从而在Oracle WebLogic Server执行恶意代码。
Oracle Communications Applications安全漏洞
这两个漏洞无需身份验证即可远程利用。
修补建议
目前厂商已发布补丁,下载链接:
https://www.oracle.com/security-alerts/cpujul2020.html
Weblogic临时修补建议:
1. 如果不依赖T3协议进行JVM通信,禁用T3协议。
进入WebLogic控制台,在base_domain配置页面中,进入安全选项卡页面,点击筛选器,配置筛选器;
在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入 7001 deny t3 t3s保存生效;
重启Weblogic项目,使配置生效。
2. 如果不依赖IIOP协议进行JVM通信,禁用IIOP协议。
进入WebLogic控制台,在base_domain配置页面中,进入安全选项卡页面;
选择“服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选;
重启Weblogic项目,使配置生效。
来源:
京公网安备 11010802025578号