(2021 年 1月)
一、情况概述
Oracle发布2021年首个重要补丁更新包,本次更新含Oracle产品系列中的329个新安全补丁。自2020年10月重要补丁更新发布以来,Oracle已发布Oracle WebLogicServer安全警报:CVE-2020-14750(2020年11月1日)。强烈建议客户应用此重要补丁更新,其中包括此警报的补丁以及其他补丁。Oracle每季度发布一次重要更新,接下来的4个补丁发布日期为:2021年4月20日、2021年7月20日、2021年10月19日、2022年1月18日。
二、漏洞危害
WebLogic是美国Oracle公司的主要产品之一,是商业市场上主要的 J2EE 应用服务器软件,也是世界上第一个成功商业化的J2EE应用服务器,在 Java 应用服务器中有非常广泛的部署和应用。
编号为CVE-2021-2109的Weblogic JNDI注入远程命令执行漏洞,值得各方高度关注。该漏洞风险为“高”,影响版本:Weblogic Server10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0。
针对weblogic漏洞的利用代码(POC)已在互联网上公开,建议用户尽快修补。Weblogic相关漏洞,是网络黑产最热衷使用的攻击武器之一,大量网站曾因此组件存在漏洞被入侵、控制、植入挖矿木马和勒索病毒。
三、影响范围
受影响版本
WeblogicServer 10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0。
四、修复建议
建议受影响的用户参考Oracle官方网站的公告尽快修复。修复前请做好数据备份。
1.更新补丁,Oracle目前已发布补丁修复了上述漏洞,请用户参考官方通告及时下载受影响产品更新补丁,并参照补丁安装包中的readme文件进行安装更新,以保证长期有效的防护。
2.如果用户暂时无法安装更新补丁,可通过下列措施对漏洞(CVE-2020-14841),(CVE-2020-14825) 与(CVE-2020-14859)进行临时防护:
(1)用户可通过控制T3协议的访问来临时阻断针对利用T3协议漏洞的攻击;
(2)用户可通过关闭IIOP协议阻断针对利用IIOP协议漏洞的攻击。
附:参考链接:
https://www.oracle.com/security-alerts/cpujan2021.html
原文始发于微信公众号(鼎信安全):关于Oracle发布2021年1月重要补丁更新的安全通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论