近日��,國家信息安全漏洞庫(CNNVD)收到關(guān)于Oracle Weblogic T3協(xié)議安全漏洞(CNNVD-202001-667��、CVE-2020-2546)和Oracle Weblogic WLS組件IIOP協(xié)議安全漏洞(CNNVD-202001-675�、CVE-2020-2551) 情況的報送����。攻擊者可利用漏洞在未授權(quán)的情況下發(fā)送攻擊數(shù)據(jù),實現(xiàn)遠程代碼執(zhí)行,最終控制WebLogic服務器���。Oracle WebLogic Server 10.3.6.0���、12.1.3.0、12.2.1.3��、12.2.1.4等版本均受漏洞影響。目前�����, Oracle官方已經(jīng)發(fā)布補丁修復了漏洞�,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施����。
一、漏洞介紹
Oracle WebLogic Server是美國甲骨文(Oracle)公司開發(fā)的一款適用于云環(huán)境和傳統(tǒng)環(huán)境的應用服務中間件�,它提供了一個現(xiàn)代輕型開發(fā)平臺,支持應用從開發(fā)到生產(chǎn)的整個生命周期管理�����,并簡化了應用的部署和管理��。T3協(xié)議是用于在WebLogic服務器和其他類型的Java程序之間傳輸信息的協(xié)議���。IIOP協(xié)議是一個用于CORBA 2.0及兼容平臺��,用來在CORBA對象請求代理之間交流的協(xié)議�。
(1)Oracle WebLogic T3協(xié)議安全漏洞(CNNVD-202001-667、CVE-2020-2546)
攻擊者可以通過T3協(xié)議對存在漏洞的WebLogic Server進行反序列化攻擊��,成功利用該漏洞的攻擊者可以對目標系統(tǒng)實現(xiàn)遠程代碼執(zhí)行�,進而控制WebLogic服務器。
(2)Oracle WebLogic WLS組件IIOP協(xié)議安全漏洞(CNNVD-202001-675���、CVE-2020-2551)
攻擊者可以在未授權(quán)的情況下通過IIOP協(xié)議對存在漏洞的WebLogic Server組件進行反序列化攻擊���,成功利用該漏洞的攻擊者可以對目標系統(tǒng)實現(xiàn)遠程代碼執(zhí)行,進而控制WebLogic服務器����。
二、危害影響
(1)Oracle WebLogic T3協(xié)議安全漏洞(CNNVD-202001-667��、CVE-2020-2546)
成功利用該漏洞的攻擊者可以對目標系統(tǒng)實現(xiàn)遠程代碼執(zhí)行����,進而控制WebLogic服務器�。該漏洞涉及了多個版本,具體受影響版本如下:
Oracle WebLogic Server 10.3.6.0 Oracle WebLogic Server 12.1.3.0 |
(2)Oracle WebLogic WLS組件IIOP協(xié)議安全漏洞(CNNVD-202001-675�����、CVE-2020-2551)
成功利用該漏洞的攻擊者可以對目標系統(tǒng)實現(xiàn)遠程代碼執(zhí)行��,進而控制WebLogic服務器。該漏洞涉及了多個版本��,具體受影響版本如下:
Oracle WebLogic Server 10.3.6.0 Oracle WebLogic Server 12.1.3.0 Oracle WebLogic Server 12.2.1.3 Oracle WebLogic Server 12.2.1.4 |
三�����、修復建議
目前�����, Oracle官方已經(jīng)發(fā)布補丁修復了漏洞���,建議用戶及時確認是否受到漏洞影響��,盡快采取修補措施�����。Oracle官方更新鏈接如下:
https://www.oracle.com/security-alerts/cpujan2020.html
本通報由CNNVD技術(shù)支撐單位——奇安信科技集團股份有限公司提供支持����。
CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況����,及時發(fā)布相關(guān)信息���。如有需要,可與CNNVD聯(lián)系�����。
聯(lián)系方式: cnnvd@itsec.gov.cn
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
