关于Oracle发布2021年1月重要补丁更新的安全通告

（2021 年 1月）

一、情况概述

     Oracle发布2021年首个重要补丁更新包，本次更新含Oracle产品系列中的329个新安全补丁。自2020年10月重要补丁更新发布以来，Oracle已发布Oracle WebLogicServer安全警报：CVE-2020-14750（2020年11月1日）。强烈建议客户应用此重要补丁更新，其中包括此警报的补丁以及其他补丁。Oracle每季度发布一次重要更新，接下来的4个补丁发布日期为：2021年4月20日、2021年7月20日、2021年10月19日、2022年1月18日。

二、漏洞危害

WebLogic是美国Oracle公司的主要产品之一，是商业市场上主要的 J2EE 应用服务器软件，也是世界上第一个成功商业化的J2EE应用服务器，在 Java 应用服务器中有非常广泛的部署和应用。

编号为CVE-2021-2109的Weblogic JNDI注入远程命令执行漏洞，值得各方高度关注。该漏洞风险为“高”，影响版本：Weblogic Server10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0。

针对weblogic漏洞的利用代码（POC）已在互联网上公开，建议用户尽快修补。Weblogic相关漏洞，是网络黑产最热衷使用的攻击武器之一，大量网站曾因此组件存在漏洞被入侵、控制、植入挖矿木马和勒索病毒。

三、影响范围     

受影响版本

WeblogicServer 10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0。

四、修复建议

建议受影响的用户参考Oracle官方网站的公告尽快修复。修复前请做好数据备份。

1.更新补丁，Oracle目前已发布补丁修复了上述漏洞，请用户参考官方通告及时下载受影响产品更新补丁，并参照补丁安装包中的readme文件进行安装更新，以保证长期有效的防护。

2.如果用户暂时无法安装更新补丁，可通过下列措施对漏洞（CVE-2020-14841），(CVE-2020-14825) 与(CVE-2020-14859)进行临时防护：

（1）用户可通过控制T3协议的访问来临时阻断针对利用T3协议漏洞的攻击；

（2）用户可通过关闭IIOP协议阻断针对利用IIOP协议漏洞的攻击。

附：参考链接：

https://www.oracle.com/security-alerts/cpujan2021.html

原文始发于微信公众号（鼎信安全）：关于Oracle发布2021年1月重要补丁更新的安全通告