近日,沈阳网络安全协会信息通报机制合作单位新华三集团(H3C)提醒,Oracle官方发布了2020年10月份关键补丁更新公告,包含402个修复补丁,涉及到Oracle Weblogic、Oracle Endeca InformationDiscovery Integrator、Oracle WebCenter Portal等多个Oracle产品,其中包括5个严重的Weblogic Server反序列化漏洞(CVE-2020-14825、CVE-2020-14841、CVE-2020-14859、CVE-2020-14882、CVE-2019-17267),未经身份验证的攻击者可利用该漏洞获取WebLogic服务器权限。
1. 漏洞综述
1.1漏洞详情
CVE-2020-14825、CVE-2020-14841和CVE-2020-14859三个漏洞与IIOP、T3协议有关,受影响组件主要为WeblogicCore,Weblogic使用IIOP、T3协议进行JVM通信,且默认开启;CVE-2020-14882和CVE-2019-17267两个漏洞可通过HTTP协议进行利用,受影响的组件分别为WebLogicConsole 和Centralized Thirdparty Jars (jackson-databind)。未经身份验证的远程攻击者可构造恶意数据通过IIOP、T3和HTTP协议对存在漏洞的组件进行攻击,从而获取服务器权限,实现远程代码执行。
2.影响范围
CVE编号 | 影响范围 | 协议 |
CVE-2020-14825 | Oracle WebLogic Server 12.1.3.0.0 Oracle WebLogic Server 12.2.1.4.0 Oracle WebLogic Server 14.1.1.0.0 | IIOP, T3 |
CVE-2020-14841 | Oracle WebLogic Server 10.3.6.0.0 Oracle WebLogic Server 12.1.3.0.0 Oracle WebLogic Server 12.2.1.0.0 Oracle WebLogic Server 12.2.1.4.0 Oracle WebLogic Server 14.1.1.0.0 | IIOP |
CVE-2020-14859 | Oracle WebLogic Server 10.3.6.0.0 Oracle WebLogic Server 12.1.3.0.0 Oracle WebLogic Server 12.2.1.0.0 Oracle WebLogic Server 12.2.1.4.0 Oracle WebLogic Server 14.1.1.0.0 | IIOP, T3 |
CVE-2020-14882 | Oracle WebLogic Server 10.3.6.0.0 Oracle WebLogic Server 12.1.3.0.0 Oracle WebLogic Server 12.2.1.0.0 Oracle WebLogic Server 12.2.1.4.0 Oracle WebLogic Server 14.1.1.0.0 | HTTP |
CVE-2019-17267 | Oracle WebLogic Server 12.2.1.3.0 | HTTP |
3.处置方法
3.1 官方补丁
目前官方已发布漏洞修复补丁,请受影响的用户及时升级补丁以修复该漏洞,参考链接:https://www.oracle.com/security-alerts/cpuoct2020.html
3.2 临时修复方案
若无法安装升级修复补丁,可采取如下修复措施:
1、 限制外部主机使用T3协议通信
1)进入Weblogic控制台,在base_domain的域设置页面中,选择“安全”-“筛选器”选项卡,对连接筛选器进行配置;
2)在连接筛选器输入框中输入:weblogic.security.net.ConnectionFilterImpl;
3)在连接筛选器规则输入框中输入:127.0.0.1* * allow t3 t3s(仅允许本机)0.0.0.0/0* * deny t3 t3s;
4)保存提交后若规则未生效,则需重启Weblogic服务。
新华三集团(H3C)安全产品线专注于网络安全以及应用安全,为用户提供融合网络和应用的产品与解决方案。经过多年的持续投入,H3C已开发出自主知识产权高性能业务处理芯片与专用核心软件操作系统,拥有1000多项信息安全领域专利技术,同时与国际安全组织CVE、微软MAPP、CNVD、CNNVD,ANVA、云安全联盟(CSA)、网络安全创新技术联盟等密切合作,致力于提供最优质的安全体验。目前,H3C开发的安全产品覆盖网络层安全、应用层安全以及安全管理三个层面,包括防火墙、VPN、UTM、IPS、ACG、负载均衡、安全管理中心、云安全解决方案、态势感知系统等300多款产品,型号涵盖百兆、千兆、万兆和超万兆应用环境,具备了2~7层全业务安全防护能力,满足未来云计算、IPv6、Web2.0等新业务、新应用的时代需求。在中国市场,H3C安全销售额和出货量均稳居第一集团。新华三集团辽宁办事处联系人:高宇 18698810345 李大为 15940270347
网安协会联系方式:
地址:沈阳市沈河区北站路140号沈阳农商银行总部大厦17F
电话:024-83838313