oracle漏洞奖励计划,「漏洞通告」Oracle Coherence远程代码执行漏洞(CVE-2020-2915)...

最新推荐文章于 2021-06-23 17:24:56 发布
最新推荐文章于 2021-06-23 17:24:56 发布
阅读量310 收藏
点赞数
文章标签: oracle漏洞奖励计划

当地时间4月14日,Oracle发布2020年4月关键补丁更新(Critical Patch Update,简称CPU),其中包括一个针对Oracle Coherence ,评分为 9.8的严重漏洞(CVE-2020-2915)。

漏洞允许未经身份验证的攻击者通过T3协议网络访问并破坏易受攻击的Oracle Coherence,成功的漏洞利用可导致Oracle Coherence被攻击者接管,从而造成远程代码执行。

使用了Oracle Coherence库的产品受此漏洞影响,在WebLogic Server 11g Release(10.3.4)及以上版本的安装包中默认集成了Oracle Coherence库。

参考链接:

受影响产品版本

Oracle Coherence 3.7.1.0

Oracle Coherence 12.1.3.0.0

Oracle Coherence 12.2.1.3.0

Oracle Coherence 12.2.1.4.0

解决方案

Oracle已经发布补丁修复了上述漏洞,请用户参考官方通告及时下载受影响产品更新补丁,并参照补丁安装包中的readme文件进行安装更新,以保证长期有效的防护。

注:Oracle官方补丁需要用户持有正版软件的许可账号,使用该账号登陆https://support.oracle.com后,可以下载最新补丁。

缓解措施:

若用户暂时不能安装最新补丁,可通过禁用T3协议,对漏洞进行临时缓解。

官方通告:

吴敬欣
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE_2020_2546:CVE-2020-2546,CVE-2020-2915 CVE-2020-2801 CVE-2020-2798 CVE-2020-2883 CVE-2020-2884 CVE-2020-2950 WebLogic T3有效负载利用poc python3,
03-20
推特: 1,Weblogic RCE漏洞利用 CVE_2020_2546 CVE-2020-2915 CVE-2020-2801 CVE-2020-2798 CVE-2020-2883 CVE-2020-2884 CVE-2020-2950 WebLogic RCE T3有效载荷利用POC python3 2,利用 GIOP +发送绑定(CVE-2020-2555,CVE-2019-2888,CVE-2019-2888 <XXE>或其他) GIOP +发送jta(rmi或其他) GIOP +发送jta + SSRF T3 +发送jta T3 +发送jta + SSRF T3 +发送XXE T3 +发送XXE + SSRF 2.1,rmi服务器,请参阅 不要使用org.mozilla.classfile.DefiningClassLoader 不要使用j
jackson 序列化_【安全警报】Jackson反序列化远程代码执行漏洞(CVE202024616)
weixin_39843677的博客
12-02 315
FasterXML jackson-databind 2.9.10.6之前的版本在处理序列化交互时可能导致远程代码执行。【漏洞描述】FasterXML Jackson发布了新的高危漏洞(漏洞编号:CVE-2020-24616),其官方团队发布了 jackson-databind 的新版本 2.9.10.6,其中修复了几个反序列化漏洞。FasterXML Jackson是美国FasterX...
oracle11g远程命令执行漏洞,「漏洞通告」WebLogic多个远程代码执行漏洞
weixin_42519170的博客
04-03 608
一、漏洞概述京时间4月15日,Oracle官方发布了2020年4月关键补丁更新公告CPU(Critical Patch Update),修复了397个不同程度的漏洞。其中包括三个针对Weblogic的严重漏洞(CVE-2020-2801、CVE-2020-2883、CVE-2020-2884)和一个OracleCoherence远程代码执行漏洞(CVE-2020-2915),使用了Oracle...
WebLogic的4月安全公告
公众号shadow sock7
04-16 630
参考: https://www.oracle.com/security-alerts/cpuapr2020.html CVE-2020-2915 Oracle Coherence存在MVEL表达式注入漏洞,受此漏洞影响的版本包括3.7.1.0、12.1.3.0.0、12.2.1.3.0和12.2.1.4.0。未经身份验证的攻击者可通过精心构造的T3请求来利用此漏洞,成功利用此漏洞的攻击者可接管...
2020-04 补丁日: Oracle多款产品重要安全更新通告
爱国小白帽
04-15 1243
2020-04 补丁日: Oracle多款产品重要安全更新通告 360-CERT [360CERT](javascript:void(0)???? 今天 0x00 漏洞背景 2020年04月15日, 360CERT监测发现 Oracle官方 发布了 多个高危漏洞 的风险通告漏洞编号为 CVE-2020-2915,CVE-2020-2801,CVE-2020-2883,CVE-2020-2884,其中...
CVE-2020-2883:Weblogic coherence.jar RCE
04-13
CVE-2020-2883 先克隆框架 git clone https://github.com/Y4er/CVE-2020-2555 然后将 CVE_2020_2883.java 放到 src/com/supeream/CVE_2020_2883.java 目录下 导入idea运行 CVE_2020_2883.java RCE! 截图
CVE-2020-2555——Coherence反序列化初探 .pdf
09-05
CVE-2020-2555——Coherence反序列化初探 安全防御 企业安全 安全架构信息安全 安全防御
CVE-2020-14644 iiop反序列化漏洞分析1
最新发布
08-03
总结,CVE-2020-14644是一个严重的WebLogic Server漏洞,涉及到IIOP反序列化过程中的代码执行风险。了解其工作原理和利用方式,对于安全防御和应急响应至关重要。通过及时更新、限制访问以及强化监控,可以有效降低...
CVE-2020-14756:WebLogic T3IIOP RCE coherence.jar的ExternalizableHelper.class
05-25
CVE-2020-14756 的WebLogic T3 / IIOP RCE ExternalizableHelper.class of coherence.jar 自述文件 基于和项目 在12.2.1.4.0和jdk 1.8.0_221上测试 参考
coherence.jar-coherence-work.jar-tangosol.jar-
06-06
标题中的"coherence.jar-coherence-work.jar-tangosol.jar-"揭示了这是一组与Oracle Coherence相关的Java库文件。CoherenceOracle公司提供的一种分布式数据管理解决方案,它主要用于实现高性能的数据缓存、数据...
CVE-2020-0796-POC.py
03-19
微软SMBv3远程代码执行漏洞(SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码)可被攻击者利用,实现无须权限即可执行远程代码,受攻击的目标系统只需开机在线即可能被入侵。该漏洞后果十分接近永恒之蓝系列,存在被WannaCry等勒索蠕虫利用的可能,攻击者可以构造特定的网页、压缩包、共享目录、Offic文档等多种方式触发漏洞进行攻击,对存在该漏洞的Windows主机造成严重威胁。
fmw_12.2.1.4.0_wls_quick_Disk1_1of1.zip
01-30
包括:Java EE 7,Weblogic Server和Oracle Coherence(加快速度的缓存管理部件)。
Oracle Fusion Middleware Oracle WebLogic Server组件安全漏洞(CVE-2018-2625)补丁包
08-17
Oracle Fusion Middleware Oracle WebLogic Server组件安全漏洞(CVE-2018-2625) 补丁包 对应的weblogic的版本是12.1.3.0 有需要的下载
2019年7月weblogic12.2.1.3.0最新补丁 Patch 29814665
09-18
该压缩包里面包含了三个文件,p29814665_122130_Generic.zip是weblogic12.2.1.3.0的7月份最新补丁。如果opatch的版本低,则解压安装p28186730_139400_Generic.zip先升级opatch的版本,安装时注意jdk版本是否正确。然后再打p29814665_122130_Generic.zip补丁和p29814665_122130_Generic.zip补丁
漏洞通告】WebLogic多个远程代码执行漏洞通告
爱国小白帽
04-15 1669
漏洞通告】WebLogic多个远程代码执行漏洞通告 原创 威胁对抗能力部 [绿盟科技安全情报](javascript:void(0)???? 今天 通告编号:NS-2020-0026 2020-04-15 TAG: WebLogic、CVE-2020-2801、CVE-2020-2883、CVE-2020-2884、CVE-2020-2915 漏洞等级: 高,攻击者利用此类漏洞,可实现...
Weblogic最新补丁升级操作手册-2020年4月
qq_20712595的博客
04-22 1493
声明:请应用在进行补丁升级安装前制定应用回退方案并做好相关备份操作。 适用范围:本文档示例为Windows操作系统下,weblogic版本为10.3.6的环境。 Oracle linux、centos等其他Linux系统,以及其他版本weblogic软件的补丁安装步骤基本相同,请自行将文档中.cmd后缀更换为.sh或查阅官方文档。 最新补丁信息: 补丁包:p30857748_1036_Ge...
简单聊聊CVE-2020-13379
一个安全研究员
08-04 8084
多次跳转导致的ssrf
甲骨文推出Oracle支持奖励计划
qq_41909850的博客
06-23 213
2021年6月23日,北京——为了帮助客户加快上云步伐,降低授权许可支持的成本,甲骨文发布了一项新的Oracle支持奖励Oracle Support Rewards)计划。现在,新签约购买Oracle云基础设施(Oracle Cloud Infrastructure, OCI)服务的客户将获得奖励,可用于减少甚至免除其甲骨文的本地技术授权支持费用。 根据这一计划,甲骨文技术授权支持客户每购买和消费1美元的OCI 通用储值(Universal Credits),即可获得至少25美分的支持奖励Oracle
cve-2020-1938复现
热门推荐
梦之序章的博客
02-21 1万+
一、 Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,其安装后会默认开启ajp连接器,方便与其他web服务器通过ajp协议进行交互。属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。对于一个初学者来说,可以这样认为,当在一台机器上配置好Apache 服务器,可利用它响应HTML(标准通用标记语言下的一个应用)页面的访问请求。...
CVE-2020-14644:WebLogic IIOP反序列化漏洞深度解析
"CVE-2020-14644是一个针对Oracle WebLogic Server的IIOP(Internet Inter-ORB Protocol)反序列化漏洞,主要影响12.2.1.3.0, 12.2.1.4.0, 和14.1.1.0.0这几个版本。该漏洞允许攻击者通过精心构造的恶意输入来触发...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值