Weblogic远程代码实行漏洞风险通告

发布时间 2020-01-15

漏洞编号和级别


CVE编号:CVE-2020-2546,危险级别:严重,CVSS分值:厂商自评:9.8,官方未评定

CVE编号:CVE-2020-2551,危险级别:严重,CVSS分值:厂商自评:9.8,官方未评定


影响版本


CVE-2020-2546

WebLogic Server 10.3.6.0.0

WebLogic Server 12.1.3.0.0


CVE-2020-2551

Weblogic Server 10.3.6.0.0

Weblogic Server 12.1.3.0.0

Weblogic Server 12.2.1.3.0

Weblogic Server 12.2.1.4.0


漏洞概述


WebLogic是Oracle企业出品的基于JavaEE 架构的中间件,用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用。


CVE-2020-2546:

攻击者能够利用Weblogic T3协议进行反序列化漏洞的利用从而造成远程代码实行。


CVE-2020-2551:

该漏洞可以绕过Oracle官方在2019年10月份发布的最新安全补丁。攻击者可以通过IIOP协议远程访问Weblogic Server服务器上的远程接口,传入恶意数据,从而获取服务器权限并在未授权情况下远程实行任意代码。


漏洞验证


暂无POC/EXP。


修复建议


升级补丁,参考oracle官网发布的补丁。


缓解措施:


CVE-2020-2546


如果不依赖T3协议进行JVM通信,禁用T3协议:


进入WebLogic控制台,在base_domain配置页面中,进入安全选项卡页面,点击筛选器,配置筛选器。在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入 7001 deny t3 t3s 保存生效(需重启)。


CVE-2020-2551


可通过关闭IIOP协议对此漏洞进行缓解。操作如下:


在Weblogic控制台中,选择“服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选。并重启Weblogic项目,使配置生效。


参考链接


https://www.oracle.com/security-alerts/cpujan2020.html