漏洞描述
北京时间2020年1月15日,Oracle发布2020年1月关键补丁更新(Critical Patch Update,简称CPU),此次更新修复了333个危害程度不同的安全漏洞。其中196个漏洞可被远程未经身份认证的攻击者利用。此次更新涉及Oracle Database Server、Oracle Weblogic Server、Oracle Java SE、Oracle MySQL等多个产品。Oracle强烈建议客户尽快应用关键补丁更新修复程序,对漏洞进行修复。
此次发布的补丁,修复了Weblogic的两个高危漏洞(CVE-2020-2546、CVE-2020-2551)。
漏洞编号
CVE-2020-2551
CVE-2020-2546
漏洞等级
高 危
受影响版本
CVE-2020-2551
10.3.6.0.0
12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
CVE-2020-2546
修复建议
用户可通过禁用T3协议,对此漏洞进行临时缓解,具体操作可参考下文
临时禁用T3协议:
(1)进入WebLogic控制台,在base_domain配置页面中,进入安全选项卡页面,点击筛选器,配置筛选器;
(2)在链接筛选器中输入:
weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入:127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s(t3和t3s协议只允许本地访问);
(3)保存重启后规则生效。
可通过关闭IIOP协议对此漏洞进行缓解。操作如下:
在Weblogic控制台中,选择“服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选。并重启Weblogic项目,使配置生效。
捷普网络脆弱性智能评估系统可检测该漏洞,捷普漏扫用户可升级规则至最新版本。