WebLogic发布2020年10月关键补丁更新修复多个严重漏洞

• • 腾讯云建站教程
  • 宝塔面板建站教程
  • 老薛主机建站教程
  • SiteGround建站教程

美国时间 2020 年 10 月 20 日，Oracle 发布 2020 年 10 月关键补丁更新，修复了多个评分为 9.8 的严重漏洞。其中包括蚂蚁安全非攻实验室发现的两个严重漏洞：

• CVE-2020-14841：WebLogic IIOP JNDI 注入
• CVE-2020-14825：t3 反序列化远程代码执行漏洞，绕过 CVE-2020-14645

及长亭科技安全研究实验室发现的两个严重漏洞：

• CVE-2020-14882：WebLogic Console 后台登录绕过验证
• CVE-2020-14883：Handle 参数反序列化代码执行漏洞

此外，更新共涉及 10 个高危严重漏洞，利用这些漏洞，未经授权的攻击者可以发送精心构造的恶意请求，获取服务器权限，实现远程代码执行。

漏洞描述

WebLogic 是美国 Oracle 公司的主要产品之一，是商业市场上主要的 J2EE 应用服务器软件，也是世界上第一个成功商业化的 J2EE 应用服务器，在 Java 应用服务器中有非常广泛的部署和应用。在此次披露的多个严重漏洞中，未经授权的攻击者可以绕过 WebLogic 后台登录等限制，直接远程利用反序列化漏洞，从而接管 WebLogic 服务器，风险极大，阿里云应急响应中心提醒 Weblogic 用户尽快采取安全措施阻止漏洞攻击。

漏洞评级

• CVE-2019-17267：严重
• CVE-2020-14882：严重
• CVE-2020-14841：严重
• CVE-2020-14825：严重
• CVE-2020-14859：严重
• CVE-2020-14820：高危
• CVE-2020-14883：高危
• CVE-2020-14757：高危
• CVE-2020-11022：高危
• CVE-2020-9488：中危

影响版本

• WebLogic 12.2.1.3.0
• WebLogic 12.2.1.4.0
• WebLogic 14.1.1.0.0
• WebLogic 10.3.6.0.0
• WebLogic 12.2.1.3.0

安全建议

一、禁用 T3 协议

如果您不依赖 T3 协议进行 JVM 通信，可通过暂时阻断 T3 协议缓解此漏洞带来的影响

1、进入 Weblogic 控制台，在 base_domain 配置页面中，进入“安全”选项卡页面，点击“筛选器”，配置筛选器。

2、在连接筛选器中输入：weblogic.security.net.ConnectionFilterImpl，在连接筛选器规则框中输入：* * 7001 deny t3 t3s。

二、禁止启用 IIOP

登陆 Weblogic 控制台，找到启用 IIOP 选项，取消勾选，重启生效。

三、临时关闭后台/console/console.portal 对外访问

四、升级官方安全补丁

相关阅读

• Oracle Critical Patch Update Advisory – October 2020