【漏洞详情】
2020年1月15日,Oracle发布2020年1月关键补丁更新,其中修复了多个存在于WebLogic中的安全漏洞,其中影响较大的两个漏洞如下:
CVE-2020-2546(CVSS:9.8分):攻击者可通过T3协议利用此漏洞实现远程代码执行攻击;
CVE-2020-2551(CVSS:9.8分):攻击者可以通过IIOP协议远程访问Weblogic Server服务器接口,传入恶意数据,获取服务器权限并在未授权情况下远程执行任意代码。
建议受影响的用户综合评估安全及业务影响,及时进行加固修复,避免安全风险
【风险评级】
高危
【影响范围】
CVE编号 |
影响组件 |
协议 |
CVSS |
受影响版本 |
CVE-2020-2551 |
WLS Core Components |
IIOP |
9.8 |
10.3.6.0.0 |
CVE-2020-2546 |
Application Container – JavaEE |
T3 |
9.8 |
10.3.6.0.0 |
CVE-2020-6950 |
Web Container (JavaServer Faces) |
HTTP |
7.5 |
12.2.1.3.0 |
CVE-2019-17359 |
第三方组件 (Bouncy Castle Java Library) |
HTTPS |
7.5 |
12.2.1.3.0 |
CVE-2020-2549 |
WLS Core Components |
HTTP |
7.2 |
10.3.6.0.0 |
CVE-2020-2550 |
WLS Core Components |
None |
5.1 |
10.3.6.0.0 |
CVE-2020-2547 |
Console |
HTTP |
4.8 |
10.3.6.0.0 |
CVE-2020-2548 |
WLS Core Components |
HTTP |
4.8 |
10.3.6.0.0 |
CVE-2020-2552 |
WLS Core Components |
HTTP |
4.8 |
10.3.6.0.0 |
CVE-2020-2544 |
Console |
HTTP |
4.3 |
10.3.6.0.0 |
CVE-2020-2519 |
Console |
HTTP |
4.3 |
10.3.6.0.0 |
【修复建议】
建议受影响用户综合评估漏洞风险和业务影响,下载并升级官方最新补丁,及时进行加固修复,避免安全风险。
【参考链接】
https://www.oracle.com/security-alerts/cpujan2020.html
特别提醒:修复漏洞前请进行充分测试,并务必做好数据备份和快照,防止出现意外。
平安云
2020年1月16日