WebLogic 發布 2020年10月關鍵補丁更新，修復多個高風險漏洞

美國時間2020年10月20日，Oracle發布2020年10月關鍵補丁更新，修復了多個評分為 9.8 的嚴重漏洞。其中包括螞蟻安全非攻實驗室發現的兩個嚴重漏洞：

• CVE-2020-14841：WebLogic IIOP JNDI 注入
• CVE-2020-14825：繞過CVE-2020-14645

此外，更新共涉及10個高危嚴重漏洞，利用這些漏洞，未經授權的攻擊者可以發送精心構造的惡意請求，獲取服務器權限，實現遠程代碼執行。

漏洞描述

WebLogic是美國 Oracle 公司的主要產品之一，是商業市場上主要的 J2EE 應用服務器軟件，也是世界上第一個成功商業化的J2EE應用服務器，在 Java 應用服務器中有非常廣泛的部署和應用。在此次披露的多個嚴重漏洞中，未經授權的攻擊者可以繞過WebLogic后臺登錄等限制，直接遠程利用反序列化漏洞，從而接管WebLogic服務器，風險極大，阿里云應急響應中心提醒 Weblogic 用戶盡快采取安全措施阻止漏洞攻擊。

漏洞評級

• CVE-2019-17267：嚴重
• CVE-2020-14882：嚴重
• CVE-2020-14841：嚴重
• CVE-2020-14825：嚴重
• CVE-2020-14859：嚴重
• CVE-2020-14820：高危
• CVE-2020-14883：高危
• CVE-2020-14757：高危
• CVE-2020-11022：高危
• CVE-2020-9488：中危

影響版本

• WebLogic 12.2.1.3.0
• WebLogic 12.2.1.4.0
• WebLogic 14.1.1.0.0
• WebLogic 10.3.6.0.0
• WebLogic 12.2.1.3.0

安全建議

一、禁用T3協議

如果您不依賴T3協議進行JVM通信，可通過暫時阻斷T3協議緩解此漏洞帶來的影響

1. 進入Weblogic控制臺，在base_domain配置頁面中，進入“安全”選項卡頁面，點擊“篩選器”，配置篩選器。

2. 在連接篩選器中輸入：weblogic.security.net.ConnectionFilterImpl，在連接篩選器規則框中輸入：* * 7001 deny t3 t3s。

二、禁止啟用IIOP

登陸Weblogic控制臺，找到啟用IIOP選項，取消勾選，重啟生效

三、臨時關閉后臺/console/console.portal對外訪問

四、升級官方安全補丁

相關鏈接

https://www.oracle.com/security-alerts/cpu...

阿里云云安全中心應急漏洞模塊已支持對該漏洞一鍵檢測
阿里云云防火墻已可防御此漏洞攻擊