Oracle多个产品安全漏洞通告
发布时间 2020-07-150x00 漏洞概述
|
产品 |
CVE ID |
类 型 |
漏洞等级 |
远程利用 |
影响范围 |
|
WebLogic |
CVE-2020-14625 |
|
严重 |
是 |
WebLogic 12.2.1.3.0 WebLogic 12.2.1.4.0 WebLogic 14.1.1.0.0 |
|
CVE-2020-14644 |
|
严重 |
是 |
||
|
CVE-2020-14687 |
|
严重 |
是 |
||
|
CVE-2020-14645 |
|
严重 |
是 |
WebLogic 10.3.6.0.0 WebLogic 12.1.3.0.0 WebLogic 12.2.1.3.0 WebLogic 12.2.1.4.0 WebLogic 14.1.1.0.0 |
|
|
Oracle SD-WAN Aware |
CVE-2020-14701 |
|
严重 |
是 |
Oracle SD-WAN Aware 8.2 |
|
Oracle SD-WAN Edge |
CVE-2020-14606 |
|
严重 |
是 |
Oracle SD-WAN Edge 8.2,9.0 |
0x01 漏洞详情
2020年7月14日,Oracle官方发布安全公告,修复了433个安全漏洞,涉及了Oracle Weblogic、Oracle Coherence等多款产品。其中包括四个评分为9.8的Oracle WebLogic Server反序列化漏洞(CVE-2020-14625、CVE-2020-14644、CVE-2020-14645 、CVE-2020-14687),两个评分为10的Oracle Communications Applications安全漏洞(CVE-2020-14701、CVE-2020-14606)。
Oracle WebLogic Server反序列化漏洞
这四个漏洞导致未经身份验证的攻击者通过IIOP、T3协议发送恶意请求,从而在Oracle WebLogic Server执行恶意代码。
Oracle Communications Applications安全漏洞
这两个漏洞无需身份验证即可远程利用。
0x02 处置建议
目前厂商已发布补丁,下载链接:
https://www.oracle.com/security-alerts/cpujul2020.html
Weblogic临时修补建议:
1. 如果不依赖T3协议进行JVM通信,禁用T3协议。
进入WebLogic控制台,在base_domain配置页面中,进入安全选项卡页面,点击筛选器,配置筛选器;
在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入 7001 deny t3 t3s保存生效;
重启Weblogic项目,使配置生效。
2. 如果不依赖IIOP协议进行JVM通信,禁用IIOP协议。
进入WebLogic控制台,在base_domain配置页面中,进入安全选项卡页面;
选择“服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选;
重启Weblogic项目,使配置生效。
0x03 相关新闻
0x04 参考链接
https://www.oracle.com/security-alerts/cpujul2020.html
0x05 时间线
2020-07-14 Oracle官方发布安全公告
2020-07-15 VSRC发布漏洞通告
京公网安备11010802024551号