最热产品
最新产品
推荐服务
计算
备份
网络和CDN
存储
数据库
安全
大数据计算
大数据搜索与分析
大数据应用
大数据解决方案
域名与网站
物联网
通讯
办公
智能管理
汽车服务
管理与监控
IT管理
互联网中间件
企业服务解决方案
混合云解决方案
大数据解决方案
AI解决方案
私有云解决方案
安全解决方案
金融解决方案
智慧城市解决方案
医疗解决方案
【漏洞详情】
2020年1月15日,Oracle发布2020年1月关键补丁更新,其中修复了多个存在于WebLogic中的安全漏洞,其中影响较大的两个漏洞如下:
CVE-2020-2546(CVSS:9.8分):攻击者可通过T3协议利用此漏洞实现远程代码执行攻击;
CVE-2020-2551(CVSS:9.8分):攻击者可以通过IIOP协议远程访问Weblogic Server服务器接口,传入恶意数据,获取服务器权限并在未授权情况下远程执行任意代码。
建议受影响的用户综合评估安全及业务影响,及时进行加固修复,避免安全风险
【风险评级】
高危
【影响范围】
|
CVE编号 |
影响组件 |
协议 |
CVSS |
受影响版本 |
|
CVE-2020-2551 |
WLS Core Components |
IIOP |
9.8 |
10.3.6.0.0 |
|
CVE-2020-2546 |
Application Container – JavaEE |
T3 |
9.8 |
10.3.6.0.0 |
|
CVE-2020-6950 |
Web Container (JavaServer Faces) |
HTTP |
7.5 |
12.2.1.3.0 |
|
CVE-2019-17359 |
第三方组件 (Bouncy Castle Java Library) |
HTTPS |
7.5 |
12.2.1.3.0 |
|
CVE-2020-2549 |
WLS Core Components |
HTTP |
7.2 |
10.3.6.0.0 |
|
CVE-2020-2550 |
WLS Core Components |
None |
5.1 |
10.3.6.0.0 |
|
CVE-2020-2547 |
Console |
HTTP |
4.8 |
10.3.6.0.0 |
|
CVE-2020-2548 |
WLS Core Components |
HTTP |
4.8 |
10.3.6.0.0 |
|
CVE-2020-2552 |
WLS Core Components |
HTTP |
4.8 |
10.3.6.0.0 |
|
CVE-2020-2544 |
Console |
HTTP |
4.3 |
10.3.6.0.0 |
|
CVE-2020-2519 |
Console |
HTTP |
4.3 |
10.3.6.0.0 |
【修复建议】
建议受影响用户综合评估漏洞风险和业务影响,下载并升级官方最新补丁,及时进行加固修复,避免安全风险。
【参考链接】
https://www.oracle.com/security-alerts/cpujan2020.html
特别提醒:修复漏洞前请进行充分测试,并务必做好数据备份和快照,防止出现意外。
平安云
2020年1月16日
