参考文献:Security Alert CVE-2020-14750 Patch Availability Document for OracleWebLogic Server (Doc ID 2724951.1)
一、补丁介绍
Weblogic补丁说明
weblogic 2020年10月20日最新psu补丁后续发现依然存在漏洞绕过问题,oracle针对10月份psu漏洞推出紧急补丁。
此安全警报针对Oracle WebLogic Server中的远程代码执行漏洞CVE-2020-14750。此漏洞与CVE-2020-14882有关,该漏洞已在2020年10月的关键补丁更新中解决。它可以在没有身份验证的情况下进行远程攻击,也就是说,可以在不需要用户名和密码的情况下通过网络进行攻击。
二、受影响的产品和修补程序信息
Affected Products and Versions | Patch Availability Document |
Oracle WebLogic Server, versions 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 | Fusion Middleware |
由于此漏洞的严重性以及攻击代码在各个站点上的发布,Oracle强烈建议客户尽快应用此安全警报提供的更新。
此安全警报包含Oracle Fusion中间件的1个新安全修补程序。此漏洞可在无需身份验证的情况下进行远程攻击,即可以在不需要用户凭据的情况下通过网络进行攻击。
Oracle Fusion中间件产品包括受Oracle数据库部分中列出的漏洞影响的Oracle数据库组件。Oracle Fusion中间件产品的公开取决于所使用的Oracle数据库版本。Oracle数据库安全更新未列在Oracle Fusion中间件风险矩阵中。但是,由于影响Oracle数据库版本的漏洞可能会影响Oracle Fusion中间件产品,Oracle建议客户对Oracle Fusion中间件产品的Oracle数据库组件应用安全警报CVE-2020-14750。有关需要在您的环境中应用哪些修补程序的信息,请参阅针对Oracle产品的安全警报CVE-2020-14750修补程序可用性文档, MyOracle Support Note 2724951.1。
列出了解决此CVE的修补要求,并提供了支持纠错的所有版本的修补链接。此CVE的修补程序以2020年10月PSU为先决条件:解决:
WLS Release | Required Patches |
10.3.6.0.0 | WLS PATCH SET UPDATE 10.3.6.0.201020 (Patch 31641257) + WLS OVERLAY PATCH FOR 10.3.6.0.0 OCT 2020 PSU (Patch 32097188) for CVE-2020-14750 |
12.1.3.0.0 | WLS PATCH SET UPDATE 12.1.3.0.201020 (Patch 31656851) + WLS OVERLAY PATCH FOR 12.1.3.0.0 OCT 2020 PSU (Patch 32097177) for CVE-2020-14750 |
12.2.1.3.0 | WLS PATCH SET UPDATE 12.2.1.3.201001 (Patch 31961038) + WLS OVERLAY PATCH FOR 12.2.1.3.0 OCT 2020 PSU (Patch 32097173) for CVE-2020-14750 |
12.2.1.4.0 | WLS PATCH SET UPDATE 12.2.1.4.201001 (Patch 31960985) + WLS OVERLAY PATCH FOR 12.2.1.4.0 OCT 2020 PSU (Patch 32097167) for CVE-2020-14750 |
14.1.1.0.0 | WLS PATCH SET UPDATE 14.1.1.0.200930 (Patch 31957062) + WLS OVERLAY PATCH FOR 14.1.1.0.0 OCT 2020 PSU (Patch 32097180) for CVE-2020-14750 |
获取所有最新的累积安全修补程序要求,请参阅https://www.oracle.com/security-alerts查看最新的公告并单击其中的“Fusion Middleware”链接以获取最新的累积补丁可用性文档。
重要提示:
1、对于10.3.6.0.0或12.1.3.0.0或12.2.1.3.0或12.2.1.4.0或14.1.1.0.0之前的版本,请参阅警报部分“支持的产品和版本”。要解决这些问题,您必须按照 Note 1933372.1OracleFusion Middleware 12c - FMW/WLS.的纠错支持策略日期进行升级。
2、CVE-2020-14750可用的补丁是覆盖补丁。这意味着它们是为各自的PSU版本(2020年10月)创建的。在为上表中列出的PSU应用CVE覆盖修补程序之前,请确保已应用WebLogic Server所需的10月份PSU修补程序(完整列表请参阅关键修补程序更新修补程序可用性文档 CriticalPatch Update Patch Availability Document 2694898.1)。
3、确保选择与PSU版本相对应的修补程序的正确版本。参见Note 2541027.1 了解要应用于WLS补丁集更新之上的覆盖补丁版本。
4、一般Weblogic服务器修补程序的其他常见问题:
Note 876004.1 Howto Apply WebLogic Server (WLS) Patches Using Smart Update [Video]
Note 2271366.1 WLSBSU (Smart Update) Takes a Very Long Time to Apply Patches - Especially WhenChecking for Patch Conflicts
Note 1186923.1 Diagnosing"Encountered unrecognized patch ID" Failures When Trying to Patch WLSUsing BSU
Note 2267696.1 ConflictDetected - New PSU for WLS 10.3.6 is "mutually exclusive and cannotcoexist with patch(es)"
Note 2259579.1 NativeWindows Zip/Unzip Tools Fail To Extract Contents From Oracle Patch Zip Files
Note 2429512.1 DuringInstall PSU on WebLoic Get Windows Error "File or Path Name is toolong"
Note 2007492.1 Weblogic10.3.6 Patching Error Using BSU - "java.lang.OutOfMemoryError: GC overheadlimit exceeded"
1087
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
