Weblogic远程代码执行漏洞(CVE-2020-2546、CVE-2020-2551)

WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。

将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。WebLogic是商业市场上主要的Java（J2EE）应用服务器软件（application server）之一，是世界上第一个成功商业化的J2EE应用服务器，具有可扩展性，快速开发，灵活，可靠性等优势。

1. CVE-2020-2546

该漏洞通过T3协议实现利用，攻击者可通过T3协议，发送精心构造的数据，在目标服务器上执行任意代码，CVSS评分9.8。

2. CVE-2020-2551

该漏洞可以绕过Oracle官方在2019年10月份发布的最新安全补丁。IIOP协议以Java接口的形式对远程对象进行访问，默认启用。攻击者可以通过IIOP协议远程访问Weblogic Server服务器上的远程接口，传入精心构造的数据，在目标服务器上执行任意代码。CVSS评分9.8。

目前受影响的Weblogic版本：

CVE-2020-2546：

WebLogic Server 10.3.6.0.0

WebLogic Server 12.1.3.0.0

CVE-2020-2551：

WebLogic Server 10.3.6.0.0

WebLogic Server 12.1.3.0.0

WebLogic Server 12.2.1.3.0

WebLogic Server 12.2.1.4.0

1.CVE-2020-2546：

对T3服务进行控制

控制T3服务的方法:

在上图这个界面中选择安全-筛选器，在下方出现的界面中找到“连接筛选器”，在里面输入

security.net.ConnectionFilterImpl

然后在连接筛选器规则中输入

127.0.0.1 * * allow t3 t3s，0.0.0.0/0 * * deny t3 t3s

最后保存并重启服务器即可生效。

2.CVE-2020-2551：

可通过关闭IIOP协议对此漏洞进行临时防御。操作如下：

在Weblogic控制台中，选择“服务”->”AdminServer”->”协议”，取消“启用IIOP”的勾选。并重启Weblogic项目，使配置生效。