2020 年10月21日,Oracle官方发布了多个安全漏洞的公告,包括Oracle FusionMiddleware WebLogic Server 安全漏(CVE-2020-14882)、Oracle Fusion Middleware WebLogicServer Core组件安全漏洞(CVE-2020-14841、 CVE-2020-14825)等多个漏洞。 这些漏洞允许未经身份验证的攻击者通过HTTP、IIOP、T3协议发送构造好的恶意请求,从而在weblogic执行代码,最终控制目标服务器。
针对weblogic反序列化漏洞,Oracle官网从2020年10月的关键补丁更新开始,Oracle列出了解决第三方组件中不可利用的漏洞的更新,这些漏洞包含在其各自的Oracle产品中的产品风险矩阵下。有人试图恶意利用Oracle已发布安全修补程序的漏洞进行攻击。在某些情况下,据报道,攻击者之所以成功,是因为目标客户未能应用可用的Oracle补丁程序。因此,Oracle强烈建议客户继续使用受支持的版本,并立即应用关键补丁更新安全补丁。
CVE对上述风险的综合评级为“高危”
目前,针对这几个漏洞Oracle 官方在 2020 年 10 月 20 日已经发布了最新补丁来修复,建议用户及时确认是否受到漏洞影响。 尽快采取修补措施 。
Weblogic Server 10.3.6 漏洞修复方法
1、JDK版本升级到JDK 7 u191或最新版本
2、更新weblogic最新PSU补丁包10.3.6.0.201020
补丁下载地址:
https://updates.oracle.com/Orion/Services/download/p31641257_1036_Generic.zip?aru=23872336&patch_file=p31641257_1036_Generic.zip
1、JDK版本升级到JDK 7 u191或最新版本
2、更新weblogic最新PSU补丁包12.1.3.0.201020
补丁下载地址:
https://updates.oracle.com/Orion/Services/download/p31656851_121300_Generic.zip?aru=23772998&patch_file=p31656851_121300_Generic.zip
1、JDK版本升级到JDK 8u181或最新版本
2、更新weblogic最新PSU补丁包12.2.1.3.201001
补丁下载地址:
https://updates.oracle.com/Orion/Services/download/p31961038_122130_Generic.zip?aru=23842262&patch_file=p31961038_122130_Generic.zip
1、更新weblogic最新PSU补丁包12.2.1.4.201001
补丁下载地址:
https://updates.oracle.com/Orion/Services/download/p31960985_122140_Generic.zip?aru=23842278&patch_file=p31960985_122140_Generic.zip
1、更新weblogic最新PSU补丁包14.1.1.0.200930
补丁下载地址:
https://updates.oracle.com/Orion/Services/download/p31957062_141100_Generic.zip?aru=23840361&patch_file=p31957062_141100_Generic.zip
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.secrss.com/articles/26431
本期作者|晏杰宏 主要负责数据库、中间件、大数据等基础软件建设、优化和业务保障工作。具有10年的电信与银行企业一线/二线运维服务管理经验。目前专注于云计算、中间件、开源技术和数据库等领域技术研究。持有Oracle OCP、weblogic OCP、Docker容器、Postgresql PGCE和阿里云ACP等认证。
