【漏洞预警】Weblogic远程代码执行漏洞(CVE-2020-2546、CVE-2020-2551)
发布人: 郭玉娇 发布时间: 2020-01-16 作者: 访问次数: 3289

    2020年1月15日,Oracle官方发布2020年1月关键补丁更新公告CPU(Critical Patch Update),其中CVE-2020-2551和CVE-2020-2546涉及WebLogic Server核心组件,影响面较大。这两个漏洞均在WebLogic Server默认配置下即可触发,无需管理员身份认证及额外交互,攻击者即可通过远程执行命令接管服务器,读取敏感信息等。针对CVE-2020-2551,Oracle官方目前只发布了部分版本的补丁,对于CVE-2020-2546尚未有官方补丁。请各地区各部门引起重视,注意防范。如使用了Oracle WebLogic 组件,需要及时应对处置,及时下载官方补丁程序并安装更新。在补丁未发布期间,要尽快采取缓解措施以免造成网络安全事件。

    官方公告链接:https://www.oracle.com/security-alerts/cpujan2020.html


影响范围

    CVE-2020-2551影响版本:

    -Oracle WebLogic Server 10.3.6.0.0(目前无官方补丁)

    -Oracle WebLogic Server 12.1.3.0.0(目前无官方补丁)

    -Oracle WebLogic Server 12.2.1.3.0(已发布官方补丁)

    -Oracle WebLogic Server 12.2.1.4.0(已发布官方补丁)

    CVE-2020-2546影响版本:

    -Oracle WebLogic Server 10.3.6.0.0(目前无官方补丁)

    -Oracle WebLogic Server 12.1.3.0.0(目前无官方补丁)


触发条件:

    CVE-2020-2551

    -WebLogic默认启用IIOP协议

    -漏洞触发无需身份认证

    CVE-2020-2546

    -WebLogic默认启用T3协议

    -漏洞触发无需身份认证


缓解措施:

    1.针对CVE-2020-2551,用户可通过关闭 IIOP 协议对此漏洞进行缓解。操作如下:进入WebLogic控制台,选择“服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选,并重启 Weblogic 项目,使配置生效。

    2.针对CVE-2020-2546,用户可通过临时禁用T3协议连接对此漏洞进行缓解。操作如下:进入WebLogic控制台,在base_domain配置页面中,进入“安全选项卡”->“筛选器”->“配置筛选器”。在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入 “7001 deny t3 t3s” 并重启 Weblogic 项目,使配置生效。



    响应要求:请各单位引起重视,注意防范。如使用了Oracle WebLogic 组件,需要及时应对处置,及时下载官方补丁程序并安装更新。在补丁未发布期间,要尽快采取缓解措施以免造成网络安全事件。