服务公告

全部公告 > 安全公告 > Oracle WebLogic远程代码执行漏洞预警

Oracle WebLogic远程代码执行漏洞预警

2020-07-15

一、概要

近日,华为云监测到Oracle官方发布季度安全公告,披露了多款旗下产品的安全漏洞,其中包括多个Weblogic高危漏洞(CVE-2020-9546、CVE-2018-11058、CVE-2020-14625、CVE-2020-14644、CVE-2020-14645、CVE-2020-14687、CVE-2017-5645、CVE-2020-14588),其中 CVE-2020-14625、CVE-2020-14644、CVE-2020-14645、CVE-2020-14687 漏洞和T3、IIOP协议有关。攻击者利用相关漏洞可以远程获取Weblogic服务器权限,风险性高。

华为云提醒使用Weblogic及Oracle相关产品的用户及时安排自检并做好安全加固。

参考链接:

https://www.oracle.com/security-alerts/cpujul2020.html

本次Oracle季度安全更新共涉及443个安全漏洞补丁,除Oracle Weblogic外,还包括Oracle Coherence、Oracle BI Publisher、Oracle Endeca Information Discovery Studio、Oracle Business Intelligence Enterprise Edition等产品,具体漏洞信息请参考上述官方链接。

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞说明

CVE编号

影响组件

严重程度

受影响版本

CVE-2020-9546

Centralized Thirdparty Jars   (jackson-databind)

严重

12.2.1.3.0, 12.2.1.4.0

CVE-2018-11058

Security Service (RSA BSAFE)

严重

10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0,   12.2.1.4.0

CVE-2020-14625

Core

严重

12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

CVE-2020-14644

Core

严重

12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

CVE-2020-14645

Core

严重

10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0,   12.2.1.4.0, 14.1.1.0.0

CVE-2020-14687

Core

严重

12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

CVE-2017-5645 Centralized Thirdparty   Jars(Log4j)

Centralized Thirdparty Jars (Log4j)

严重

12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

CVE-2017-5645  Console(Log4j)

Console (Log4j)

严重

10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0,   12.2.1.4.0, 14.1.1.0.0

CVE-2020-14588

Web Container

高危

10.3.6.0.0,   12.1.3.0.0,   12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

四、漏洞影响范围

产品:

Oracle WebLogic Server 10.3.6.0.0

Oracle WebLogic Server 12.1.3.0.0

Oracle WebLogic Server 12.2.1.3.0

Oracle WebLogic Server 12.2.1.4.0

Oracle WebLogic Server 14.1.1.0.0

组件:

Centralized Thirdparty Jars (jackson-databind)

Security Service (RSA BSAFE)

Core

Centralized Thirdparty Jars (Log4j)

Console (Log4j)

Web Container

五、漏洞处置

官方已发布补丁修复程序,需用户持有正版软件的许可账号,登陆https://support.oracle.com  后,下载最新补丁。

注:修复漏洞前请将资料备份,并进行充分测试。