漏洞名称:Weblogic远程代码执行漏洞(CVE-2020-2546、CVE-2020-2551)
威胁等级:高危
影响范围
CVE-2020-2546:
WebLogic Server 10.3.6.0.0,12.1.3.0.0
CVE-2020-2551:
WebLogic Server 10.3.6.0.0,12.1.3.0.0,12.2.1.3.0,12.2.1.4.0
漏洞类型:远程代码执行
WebLogic组件介绍
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。
将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。WebLogic是商业市场上主要的Java(J2EE)应用服务器软件(application server)之一,是世界上第一个成功商业化的J2EE应用服务器,具有可扩展性,快速开发,灵活,可靠性等优势。
漏洞描述
1. CVE-2020-2546
该漏洞通过T3协议实现利用,攻击者可通过T3协议,发送精心构造的数据,在目标服务器上执行任意代码,CVSS评分9.8。
2. CVE-2020-2551
该漏洞可以绕过Oracle官方在2019年10月份发布的最新安全补丁。IIOP协议以Java接口的形式对远程对象进行访问,默认启用。攻击者可以通过IIOP协议远程访问Weblogic Server服务器上的远程接口,传入精心构造的数据,在目标服务器上执行任意代码。CVSS评分9.8。
影响范围
目前受影响的Weblogic版本:
CVE-2020-2546:
WebLogic Server 10.3.6.0.0
WebLogic Server 12.1.3.0.0
CVE-2020-2551:
WebLogic Server 10.3.6.0.0
WebLogic Server 12.1.3.0.0
WebLogic Server 12.2.1.3.0
WebLogic Server 12.2.1.4.0
修复建议
1.CVE-2020-2546:
对T3服务进行控制
控制T3服务的方法:
在上图这个界面中选择安全-筛选器,在下方出现的界面中找到“连接筛选器”,在里面输入
security.net.ConnectionFilterImpl然后在连接筛选器规则中输入
127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s最后保存并重启服务器即可生效。
2.CVE-2020-2551:
可通过关闭IIOP协议对此漏洞进行临时防御。操作如下:
在Weblogic控制台中,选择“服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选。并重启Weblogic项目,使配置生效。
时间轴
2020/1/15
Oracle发布2020年1月关键补丁更新中修复了CVE-2020-2546、CVE-2020-2551两个远程代码执行漏洞。
2020/1/15
深信服千里目安全实验室对此漏洞发布预警文章。
扫一扫
1731
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
