大工网安告[2020]024号
一、情况分析
Oracle官方在10月20日发布了重要补丁更新CPU(Critical Patch Update),修复了多个WebLogic高危漏洞:
CVE编号 |
影响组件 |
协议 |
CVSS评分 |
CVE-2019-17267 |
Centralized Thirdparty Jars (jackson-databind) |
HTTP |
9.8 |
CVE-2020-14882 |
Console |
HTTP |
9.8 |
CVE-2020-14841 |
Core |
IIOP |
9.8 |
CVE-2020-14825 |
Core |
IIOP, T3 |
9.8 |
CVE-2020-14859 |
Core |
IIOP, T3 |
9.8 |
CVE-2020-14820 |
Core |
IIOP, T3 |
7.5 |
CVE-2020-14883 |
Console |
HTTP |
7.2 |
CVE-2020-14757 |
Web Services |
HTTP |
6.8 |
CVE-2020-11022 |
Console (jQuery) |
HTTP |
6.1 |
CVE-2020-9488 |
Core (Apache Log4j) |
SMTPS |
3.7 |
其中最为严重的漏洞为CVE-2020-14882、CVE-2020-14883,它们均存在于WebLogic的Console控制台组件中。此组件为WebLogic全版本默认自带组件,且该漏洞通过HTTP协议进行利用。将CVE-2020-14882和CVE-2020-14883进行组合利用后,远程且未经授权的攻击者可以直接在服务端执行任意代码,获取系统权限。
另外CVE-2020-14841、CVE-2020-14825、CVE-2020-14859以及CVE-2020-14820漏洞为T3、IIOP协议中的高危漏洞,攻击者在远程且未经授权的状态下利用这些漏洞,也可以在服务端执行任意恶意代码,获取系统权限。
二、影响范围
CVE编号 |
影响版本 |
CVE-2019-17267 |
12.2.1.3.0 |
CVE-2020-14882 |
10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2020-14841 |
10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2020-14825 |
12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2020-14859 |
10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2020-14820 |
10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2020-14883 |
10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2020-14757 |
12.2.1.3.0 |
CVE-2020-11022 |
10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2020-9488 |
10.3.6.0.0 |
三、处置建议
使用Oracle官方安全补丁进行更新修复:
此次WebLogic漏洞主要出在HTTP Console、T3、IIOP组件上,因此若无法进行安全更新,临时缓解方案在确定不影响业务的情况下考虑以下措施:
·禁用Console控制台,或者对默认的Console控制台的访问路径进行更改
·禁用T3、IIOP协议
附:参考链接
·
