关于WebLogic多个高危漏洞的安全公告

时间:2020-10-22作者:动态浏览次数:587

一、情况分析

Oracle官方在10月20日发布了重要补丁更新CPU(Critical Patch Update),修复了多个WebLogic高危漏洞:

CVE编号

影响组件

协议

CVSS评分

CVE-2019-17267

Centralized Thirdparty Jars (jackson-databind)

HTTP

9.8

CVE-2020-14882

Console

HTTP

9.8

CVE-2020-14841

Core

IIOP

9.8

CVE-2020-14825

Core

IIOP, T3

9.8

CVE-2020-14859

Core

IIOP, T3

9.8

CVE-2020-14820

Core

IIOP, T3

7.5

CVE-2020-14883

Console

HTTP

7.2

CVE-2020-14757

Web Services

HTTP

6.8

CVE-2020-11022

Console (jQuery)

HTTP

6.1

CVE-2020-9488

Core (Apache Log4j)

SMTPS

3.7

其中最为严重的漏洞为CVE-2020-14882、CVE-2020-14883,它们均存在于WebLogic的Console控制台组件中。此组件为WebLogic全版本默认自带组件,且该漏洞通过HTTP协议进行利用。将CVE-2020-14882和CVE-2020-14883进行组合利用后,远程且未经授权的攻击者可以直接在服务端执行任意代码,获取系统权限。

另外CVE-2020-14841、CVE-2020-14825、CVE-2020-14859以及CVE-2020-14820漏洞为T3、IIOP协议中的高危漏洞,攻击者在远程且未经授权的状态下利用这些漏洞,也可以在服务端执行任意恶意代码,获取系统权限。

二、影响范围

CVE编号

影响版本

CVE-2019-17267

12.2.1.3.0

CVE-2020-14882

10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

CVE-2020-14841

10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

CVE-2020-14825

12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

CVE-2020-14859

10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

CVE-2020-14820

10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

CVE-2020-14883

10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

CVE-2020-14757

12.2.1.3.0

CVE-2020-11022

10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

CVE-2020-9488

10.3.6.0.0


三、处置建议

使用Oracle官方安全补丁进行更新修复:https://www.oracle.com/security-alerts/cpuoct2020.html

此次WebLogic漏洞主要出在HTTP Console、T3、IIOP组件上,因此若无法进行安全更新,临时缓解方案在确定不影响业务的情况下考虑以下措施:

·禁用Console控制台,或者对默认的Console控制台的访问路径进行更改

·禁用T3、IIOP协议