专栏名称: 深信服千里目安全实验室
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
目录
相关文章推荐
网购投诉平台  ·  通报:1月商家投诉电商平台典型案例曝光——抖音电商 ·  8 小时前  
电商报Pro  ·  拼多多Temu拿下全球第一 ·  昨天  
JP欧洲跨境服务  ·  135个店铺被匿名起诉,这100+版权商标专 ... ·  昨天  
蛋先生工作室  ·  最新淘汰鸡行情 ·  昨天  
大数跨境  ·  Tokopedia-印尼第二大电商平台,月访 ... ·  3 天前  
51好读  ›  专栏  ›  深信服千里目安全实验室

Oracle十月份高危漏洞安全公告

深信服千里目安全实验室  · 公众号  ·  · 2020-10-21 17:50

正文


漏洞概要


漏洞名称: Oracle十月份高危漏洞安全公告

威胁等级: 高危

影响范围:

CVE-2019-17267:

Oracle WebLogic Server 12.2.1.3.0

CVE-2020-14882:

Oracle WebLogic Server 10.3.6.0.0

Oracle WebLogic Server 12.1.3.0.0

Oracle WebLogic Server 12.2.1.3.0

Oracle WebLogic Server 12.2.1.4.0

Oracle WebLogic Server 14.1.1.0.0

CVE-2020-14841:

Oracle WebLogic Server 10.3.6.0.0

Oracle WebLogic Server 12.1.3.0.0

Oracle WebLogic Server 12.2.1.3.0

Oracle WebLogic Server 12.2.1.4.0

Oracle WebLogic Server 14.1.1.0.0

CVE-2020-14825:

Oracle WebLogic Server 12.2.1.3.0

Oracle WebLogic Server 12.2.1.4.0

Oracle WebLogic Server 14.1.1.0.0

CVE-2020-14859:

Oracle WebLogic Server 10.3.6.0.0

Oracle WebLogic Server 12.1.3.0.0

Oracle WebLogic Server 12.2.1.3.0

Oracle WebLogic Server 12.2.1.4.0

Oracle WebLogic Server 14.1.1.0.0

CVE-2020-14820:

Oracle WebLogic Server 10.3.6.0.0

Oracle WebLogic Server 12.1.3.0.0

Oracle WebLogic Server 12.2.1.3.0

Oracle WebLogic Server 12.2.1.4.0

Oracle WebLogic Server 14.1.1.0.0

CVE-2020-14883:

Oracle WebLogic Server 10.3.6.0.0

Oracle WebLogic Server 12.1.3.0.0

Oracle WebLogic Server 12.2.1.3.0

Oracle WebLogic Server 12.2.1.4.0

Oracle WebLogic Server 14.1.1.0.0

CVE-2020-14757:

Oracle WebLogic Server 12.2.1.3.0

CVE-2020-11022:

Oracle WebLogic Server 10.3.6.0.0

Oracle WebLogic Server 12.1.3.0.0

Oracle WebLogic Server 12.2.1.3.0

Oracle WebLogic Server 12.2.1.4.0

Oracle WebLogic Server 14.1.1.0.0

CVE-2020-9488:

Oracle WebLogic Server 10.3.6.0.0


漏洞分析


2.1  WebLogic组件介绍

WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。
将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。WebLogic是商业市场上主要的Java(J2EE)应用服务器软件(application server)之一,是世界上第一个成功商业化的J2EE应用服务器,具有可扩展性,快速开发,灵活,可靠性等优势。

2.2 漏洞描述

Oracle十月份发布的官方补丁通告中共发布了402个安全补丁,其中Weblogic组件的高危漏洞有5个,cvss评分为9.8,分别为CVE-2019-17267、CVE-2020-14882、CVE-2020-14841、CVE-2020-14825、CVE-2020-14859|。漏洞危害性较高,建议受影响的客户尽快更新官方发布的安全补丁。

  • CVE-2019-17267

该漏洞允许未经身份验证的攻击者通过fasterxml反序列化数据,攻击者成功利用此漏洞可以获得Oracle WebLogic Server权限。

  • CVE-2020-14882

该漏洞允许未经身份验证的攻击者通过IIOP,T3进行网络访问,未经身份验证的攻击者成功利用此漏洞可以获得Oracle WebLogic Server权限。

  • CVE-2020-14841

该漏洞允许未经身份验证的攻击者通过IIOP,T3进行网络访问,未经身份验证的攻击者成功利用此漏洞可以获得Oracle WebLogic Server权限。

  • CVE-2020-14825

该漏洞允许未经身份验证的攻击者通过IIOP,T3进行网络访问,未经身份验证的攻击者成功利用此漏洞可以获得Oracle WebLogic Server权限。

  • CVE-2020-14859

该漏洞允许未经身份验证的攻击者通过IIOP,T3进行网络访问,未经身份验证的攻击者成功利用此漏洞可以获得Oracle WebLogic Server权限。


影响范围


目前受影响的Weblogic版本:

  • CVE-2019-17267

Oracle WebLogic Server 12.2.1.3.0

  • CVE-2020-14882

Oracle WebLogic Server 10.3.6.0.0
Oracle WebLogic Server 12.1.3.0.0
Oracle WebLogic Server 12.2.1.3.0
Oracle WebLogic Server 12.2.1.4.0
Oracle WebLogic Server 14.1.1.0.0

  • CVE-2020-14841

Oracle WebLogic Server 10.3.6.0.0
Oracle WebLogic Server 12.1.3.0.0
Oracle WebLogic Server 12.2.1.3.0
Oracle WebLogic Server 12.2.1.4.0
Oracle WebLogic Server 14.1.1.0.0

  • CVE-2020-14825

Oracle WebLogic Server 12.2.1.3.0
Oracle WebLogic Server 12.2.1.4.0
Oracle WebLogic Server 14.1.1.0.0

  • CVE-2020-14859

Oracle WebLogic Server 10.3.6.0.0
Oracle WebLogic Server 12.1.3.0.0
Oracle WebLogic Server 12.2.1.3.0
Oracle WebLogic Server 12.2.1.4.0
Oracle WebLogic Server 14.1.1.0.0

  • CVE-2020-14820

Oracle WebLogic Server 10.3.6.0.0
Oracle WebLogic Server 12.1.3.0.0
Oracle WebLogic Server 12.2.1.3.0
Oracle WebLogic Server 12.2.1.4.0
Oracle WebLogic Server 14.1.1.0.0

  • CVE-2020-14883

Oracle WebLogic Server 10.3.6.0.0
Oracle WebLogic Server 12.1.3.0.0
Oracle WebLogic Server 12.2.1.3.0
Oracle WebLogic Server 12.2.1.4.0
Oracle WebLogic Server 14.1.1.0.0

  • CVE-2020-14757

Oracle WebLogic Server 12.2.1.3.0

  • CVE-2020-11022

Oracle WebLogic Server 10.3.6.0.0
Oracle WebLogic Server 12.1.3.0.0
Oracle WebLogic Server 12.2.1.3.0
Oracle WebLogic Server 12.2.1.4.0
Oracle WebLogic Server 14.1.1.0.0

  • CVE-2020-9488

Oracle WebLogic Server 10.3.6.0.0


解决方案


4.1 修复建议

官方修复建议:

目前厂商已发布升级补丁修复漏洞,请受影响用户尽快进行升级加固。补丁获取链接:https://www.oracle.com/security-alerts/cpuoct2020.html

临时修复建议:

1. 可通过关闭IIOP协议对此漏洞进行临时防御。在WebLogic控制台中,选择“服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选。并重启WebLogic项目,使配置生效。







请到「今天看啥」查看全文


推荐文章
网购投诉平台  ·  通报:1月商家投诉电商平台典型案例曝光——抖音电商
8 小时前
电商报Pro  ·  拼多多Temu拿下全球第一
昨天
JP欧洲跨境服务  ·  135个店铺被匿名起诉,这100+版权商标专利被列入黑榜
昨天
蛋先生工作室  ·  最新淘汰鸡行情
昨天
大数跨境  ·  Tokopedia-印尼第二大电商平台,月访问达1.8亿次,月活用户达8500万
3 天前
包容万象  ·  简到崩溃的中国简史!!
8 年前
人民日报  ·  【夜读】听说拿完年终奖,你又想跳槽了?
8 年前
齐网网络  ·  黑龙江大雪,一首《车在飞》刷爆朋友圈!
7 年前
新浪体育  ·  预告 | 03月09日(周四)重点赛事一览
7 年前
成方三十二  ·  排名前1%的学生,是靠天赋还是努力?其实都不是…
7 年前
Sov5搜索   ·   小百科   ·   今天看啥   ·   移动版
51好读 - 好文章就要读起来!