首頁 > 安全研究 > 安全通報 > 安全通告

Oracle多個產品安全漏洞通告

發布時間 2020-07-15

0x00 漏洞概述


產品

CVE ID

類 型

漏洞等級

遠程利用

影響范圍

WebLogic

CVE-2020-14625

嚴重

WebLogic 12.2.1.3.0

WebLogic 12.2.1.4.0

WebLogic 14.1.1.0.0

CVE-2020-14644

嚴重

CVE-2020-14687

嚴重

CVE-2020-14645

嚴重

WebLogic 10.3.6.0.0

WebLogic 12.1.3.0.0

WebLogic 12.2.1.3.0

WebLogic 12.2.1.4.0

WebLogic 14.1.1.0.0

Oracle SD-WAN Aware

CVE-2020-14701

嚴重

Oracle SD-WAN Aware 8.2

Oracle SD-WAN Edge

CVE-2020-14606

嚴重

Oracle SD-WAN Edge 8.2,9.0



0x01 漏洞詳情



2020年7月14日,Oracle官方發布安全公告,修復了433個安全漏洞,涉及了Oracle Weblogic、Oracle Coherence等多款產品。其中包括四個評分為9.8的Oracle WebLogic Server反序列化漏洞(CVE-2020-14625、CVE-2020-14644、CVE-2020-14645 、CVE-2020-14687),兩個評分為10的Oracle Communications Applications安全漏洞(CVE-2020-14701、CVE-2020-14606)。

Oracle WebLogic Server反序列化漏洞

這四個漏洞導致未經身份驗證的攻擊者通過IIOP、T3協議發送惡意請求,從而在Oracle WebLogic Server執行惡意代碼。

Oracle Communications Applications安全漏洞

這兩個漏洞無需身份驗證即可遠程利用。


0x02 處置建議


目前廠商已發布補丁,下載鏈接:

https://www.oracle.com/security-alerts/cpujul2020.html

Weblogic臨時修補建議:

1. 如果不依賴T3協議進行JVM通信,禁用T3協議。

? 進入WebLogic控制臺,在base_domain配置頁面中,進入安全選項卡頁面,點擊篩選器,配置篩選器;

? 在連接篩選器中輸入:weblogic.security.net.ConnectionFilterImpl,在連接篩選器規則框中輸入 7001 deny t3 t3s保存生效;

? 重啟Weblogic項目,使配置生效。

2. 如果不依賴IIOP協議進行JVM通信,禁用IIOP協議。

? 進入WebLogic控制臺,在base_domain配置頁面中,進入安全選項卡頁面;

? 選擇“服務”->”AdminServer”->”協議”,取消“啟用IIOP”的勾選;

? 重啟Weblogic項目,使配置生效。


0x03 相關新聞


0x04 參考鏈接


https://www.oracle.com/security-alerts/cpujul2020.html


0x05 時間線


2020-07-14 Oracle官方發布安全公告

2020-07-15 VSRC發布漏洞通告




























上一篇 下一篇