近日,安全中心监测到 Oracle 近日发布了2019年4月安全更新公告,此次更新修复了包括Java SE、MySQL及WebLogic等在内的多个组件的安全漏洞。
为避免您的业务受影响,安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
【漏洞详情】
Oracle近日发布了4月安全漏洞公告,此次更新修复了包括Java SE、MySQL及WebLogic等在内的多个组件的安全漏洞,其中:
Java SE:此次共披露 Java SE 5 个安全漏洞,可无需用户交互直接远程利用,对于已经购买Oracle产品的用户如果产品使用到Java SE可以直接使用授权license 进行更新,未购买的用户则无法获取更新,如果想继续使用,用户可在jdk.java.net上下载 Oracle OpenJDK 进行替代。
CVE
影响组件
组件名称
CVSS
受影响版本
CVE-2019-2699
Java SE
Windows DLL
9.0
Java SE: 8u202
CVE-2019-2697
Java SE
2D
8.1
Java SE: 7u211, 8u202
CVE-2019-2698
Java SE
2D
8.1
Java SE: 7u211, 8u202
CVE-2019-2602
Java SE, Java SE Embedded
Libraries
7.5
Java SE: 7u211, 8u202, 11.0.2, 12; Java SE Embedded: 8u201
CVE-2019-2684
Java SE, Java SE Embedded
RMI
5.9
Java SE: 7u211, 8u202, 11.0.2, 12; Java SE Embedded: 8u201
WebLogic: 共发布了53个漏洞,其中风险相对较高漏洞 8个,主要影响WLS Core、EJB Container 及 Web Services 组件,其中须重点关注漏洞如下:
CVE
影响组件
组件名称
CVSS
受影响版本
CVE-2019-2658
Oracle WebLogic Server
WLS Core Components
9.8
10.3.6.0.0, 12.1.3.0.0
CVE-2019-2646
Oracle WebLogic Server
EJB Container
9.8
10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0
CVE-2019-2645
Oracle WebLogic Server
WLS Core Components
9.8
10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0
CVE-2018-1258
Oracle WebLogic Server
WLS Core Components (Spring Framework)
8.8
12.2.1.3.0
CVE-2019-2647
Oracle WebLogic Server
WLS – Web Services
7.5
10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0
CVE-2019-2648
Oracle WebLogic Server
WLS – Web Services
7.5
10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0
CVE-2019-2649
Oracle WebLogic Server
WLS – Web Services
7.5
10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0
CVE-2019-2650
Oracle WebLogic Server
WLS – Web Services
7.5
10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0
MySQL 方面:共发布了 45 个漏洞,其中 4 个漏洞可无需认证直接远程利用,漏洞最高CVSS评分仅 7.5 分,其中须重点关注漏洞如下:
CVE
影响组件
组件名称
CVSS
受影响版本
CVE-2019-2632
MySQL Server
Server : Pluggable Auth
7.5
5.7.25 and prior, 8.0.15 and prior
CVE-2019-2693
MySQL Server
Server: Optimizer
6.5
8.0.15 and prior
CVE-2019-2694
MySQL Server
Server: Optimizer
6.5
8.0.15 and prior
CVE-2019-2695
MySQL Server
Server: Optimizer
6.5
8.0.15 and prior
【风险等级】
高风险
【影响版本】
详见上表
【修复建议】
目前 Oracle官方已经发布补丁更新,建议您及时应用相关补丁更新。由于Oracle产品更新策略,Oracle官方补丁需要用户持有正版软件的许可账号进行下载安装,需账号登陆 https://support.oracle.com 下载最新补丁。
针对不同类型用户,腾讯云安全有如下建议:
【已购买Oracle产品的用户】
1)您可以直接登入Oracle官网下载相应的Java SE、Weblogic及MySQL更新包,进行补丁安装:
2)做好安全加固工作,检查是否管理后台暴露到公网、是否存在弱口令问题;
【个人用户或开发者 & 免费使用的组织】
1)开展安全自查及加固,如:
1.1)检查Weblogic管理后台是否进行了访问控制(限制访问源),是否存在弱口令;
1.2)可关闭受影响的协议进行缓解, WebLogic Server 提供了名为 weblogic.security.net.ConnectionFilterImpl 的默认连接筛选器,用户可通过控制T3协议的访问来临时阻断针对 CVE-2019-2645 及 CVE-2019-2646 漏洞的攻击,具体操作方法如下:
Step1:打开Weblogic控制台,进入base_domain配置页面,找到右侧“安全”下方的“筛选器”页面,进入连接筛选器配置界面;
Step2:在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则中输入:127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s(T3 和 T3S 协议的所有端口只允许本地访问);
Step3:保存后规则即可生效.
2)升级到新版本 JDK(如JDK 9),比较适合新的开发项目;
3)用户可考虑选择第三方发布的免费 openJDK 版本,在jdk.java.net上可进行下载;
4)如果经济允许,可考虑购买Oracle 商用许可证 ,可继续使用 Oracle JDK 后续更新
【漏洞参考】