Weblogic 修复 CVE-2020-14625、14644、14687、14645 等多个远程代码执行漏洞
2020年7月15日,金山云安全应急响应中心监测到Oracle官方发布安全补丁,共修复433个漏洞,涉及旗下Weblogic Server、Database Server、Java SE、MySQL等多个产品。 此次修复的漏洞中有8个Weblogic 远程代码执行漏洞,CVSS评分均为9.8分,危害等级高利用难度低,建议广大用户及时更新安全补丁或采取暂缓措施,避免被黑客攻击造成损失。 漏洞描述 WebLogic 是美国 Oracle 公司出品的 Java 应用服务器,WebLogic 是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用。 本次披露的Weblogic 远程代码执行漏洞中,其中有4个(CVE-2020-14625、CVE-2020-14644、CVE-2020-14687、CVE-2020-14645),未经授权的攻击者可以利用IIOP或者T3协议,绕过WebLoig的反序列化黑名单,从而接管WebLogic服务器。 风险等级
影响版本 修复建议
https://www.oracle.com/security-alerts/cpujul2020.html 二、 如不方便升级,可采取以下暂缓措施: 1. 关闭T3协议。 如果不依赖T3协议进行JVM通信,可通过暂时阻断T3协议缓解此漏洞带来的影响: 1)进入Weblogic控制台,在base_domain配置页面中,进入“安全”选项卡页面,点击“筛选器”,配置筛选器。 2)在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入:7001 deny t3 t3s。 3)保存生效(无需重启)。 2. 关闭IIOP。用户可通过关闭 IIOP 协议对相关漏洞进行缓解。 操作如下: 进入WebLogic控制台,选择“服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选,并重启 Weblogic 项目,使配置生效。 3. 白名单访问限制。若业务允许,建议使用白名单限制weblogic的访问,从而降低风险。 参考链接 https://www.oracle.com/security-alerts/cpujul2020.html |
全部评论
暂无评论
最新文章
热点排行
-
1文件存储 NAS 和 对象存储 OSS 的区别
-
2天翼云云电脑 | 让电视一秒变身电脑
-
3阿里工程师太凶残了,竟把服务器泡在“水里”!
-
4腾讯云 | 想在微信群里发起9人以上的语音聊天怎么办?
-
5数据仓库终结者:Dremio
-
62020年云服务器哪家强:阿里云、腾讯云、华为云、UCloud测评报告
-
72020 年 Q1 中国云市场份额:阿里云第一、华为云跃居第二、腾讯云下降为第三
-
8阿里云 web 应用防火墙(WAF)价格:179元/年
-
92020 Q1 中国公有云市场份额 TOP3:阿里云、腾讯云、华为云
-
10郑大一附院系统瘫痪 2 小时,运维人员被判 5 年半:破坏计算机信息系统罪
有话要说