服务公告
Oracle WebLogic远程代码执行漏洞预警
2020-07-15
一、概要
近日,华为云监测到Oracle官方发布季度安全公告,披露了多款旗下产品的安全漏洞,其中包括多个Weblogic高危漏洞(CVE-2020-9546、CVE-2018-11058、CVE-2020-14625、CVE-2020-14644、CVE-2020-14645、CVE-2020-14687、CVE-2017-5645、CVE-2020-14588),其中 CVE-2020-14625、CVE-2020-14644、CVE-2020-14645、CVE-2020-14687 漏洞和T3、IIOP协议有关。攻击者利用相关漏洞可以远程获取Weblogic服务器权限,风险性高。
华为云提醒使用Weblogic及Oracle相关产品的用户及时安排自检并做好安全加固。
参考链接:
https://www.oracle.com/security-alerts/cpujul2020.html
本次Oracle季度安全更新共涉及443个安全漏洞补丁,除Oracle Weblogic外,还包括Oracle Coherence、Oracle BI Publisher、Oracle Endeca Information Discovery Studio、Oracle Business Intelligence Enterprise Edition等产品,具体漏洞信息请参考上述官方链接。
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急)
三、漏洞说明
CVE编号 | 影响组件 | 严重程度 | 受影响版本 |
CVE-2020-9546 | Centralized Thirdparty Jars (jackson-databind) | 严重 | 12.2.1.3.0, 12.2.1.4.0 |
CVE-2018-11058 | Security Service (RSA BSAFE) | 严重 | 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 |
CVE-2020-14625 | Core | 严重 | 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2020-14644 | Core | 严重 | 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2020-14645 | Core | 严重 | 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2020-14687、 | Core | 严重 | 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2017-5645 Centralized Thirdparty Jars(Log4j) | Centralized Thirdparty Jars (Log4j) | 严重 | 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2017-5645 Console(Log4j) | Console (Log4j) | 严重 | 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2020-14588 | Web Container | 高危 | 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
四、漏洞影响范围
产品:
Oracle WebLogic Server 10.3.6.0.0
Oracle WebLogic Server 12.1.3.0.0
Oracle WebLogic Server 12.2.1.3.0
Oracle WebLogic Server 12.2.1.4.0
Oracle WebLogic Server 14.1.1.0.0
组件:
Centralized Thirdparty Jars (jackson-databind)
Security Service (RSA BSAFE)
Core
Centralized Thirdparty Jars (Log4j)
Console (Log4j)
Web Container
五、漏洞处置
官方已发布补丁修复程序,需用户持有正版软件的许可账号,登陆https://support.oracle.com 后,下载最新补丁。
注:修复漏洞前请将资料备份,并进行充分测试。