2020年10月发布WebLogic多个高危漏洞

JAVASEC 2021年4月17日16:07:20评论194 views字数 1382阅读4分36秒阅读模式
摘要

美国时间2020年10月20日,Oracle发布2020年10月关键补丁更新,修复了多个评分为 9.8 的严重漏洞。
蚂蚁安全非攻实验室发现的两个严重漏洞:
• CVE-2020-14841:WebLogic IIOP JNDI 注入
• CVE-2020-14825:绕过CVE-2020-14645
奇安信安全团队发现了一个严重漏洞:
• CVE-2020-14841:WebLogic IIOP JNDI 注入
此外,更新共涉及10个高危严重漏洞,利用这些漏洞,未经授权的攻击者可以发送精心构造的恶意请求,获取服务器权限,实现远程代码执行。

美国时间2020年10月20日,Oracle发布2020年10月关键补丁更新,修复了多个评分为 9.8 的严重漏洞。
蚂蚁安全非攻实验室发现的两个严重漏洞:
• CVE-2020-14841:WebLogic IIOP JNDI 注入
• CVE-2020-14825:绕过CVE-2020-14645
奇安信安全团队发现了一个严重漏洞:
• CVE-2020-14841:WebLogic IIOP JNDI 注入
此外,更新共涉及10个高危严重漏洞,利用这些漏洞,未经授权的攻击者可以发送精心构造的恶意请求,获取服务器权限,实现远程代码执行。

漏洞描述

WebLogic是美国 Oracle 公司的主要产品之一,是商业市场上主要的 J2EE 应用服务器软件,也是世界上第一个成功商业化的J2EE应用服务器,在 Java 应用服务器中有非常广泛的部署和应用。在此次披露的多个严重漏洞中,未经授权的攻击者可以绕过WebLogic后台登录等限制,直接远程利用反序列化漏洞,从而接管WebLogic服务器,风险极大。

漏洞危害

CVE-2019-17267:严重
CVE-2020-14882:严重 未经身份验证的攻击者可以通过HTTP网络访问WebLogic Server利用此漏洞
CVE-2020-14841:严重 WebLogic IIOP JNDI 注入,阿里和奇安信均为此CVE,注:CVE相同不代表利用方式相同
CVE-2020-14825:严重 绕过CVE-2020-14645,未经身份验证的攻击者可以通过IIOP、T3网络访问WebLogic Server利用此漏洞
CVE-2020-14859:严重 未经身份验证的攻击者可以通过IIOP、T3网络访问WebLogic Server利用此漏洞
CVE-2020-14820:高危
CVE-2020-14883:高危
CVE-2020-14757:高危
CVE-2020-11022:高危
CVE-2020-9488:中危

影响范围

WebLogic 12.2.1.3.0
WebLogic 12.2.1.4.0
WebLogic 14.1.1.0.0
WebLogic 10.3.6.0.0
WebLogic 12.2.1.3.0

环境措施

1.禁用T3协议
如果您不依赖T3协议进行JVM通信,可通过暂时阻断T3协议缓解此漏洞带来的影响
1.1. 进入Weblogic控制台,在base_domain配置页面中,进入“安全”选项卡页面,点击“筛选器”,配置筛选器。
1.2. 在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入:* * 7001 deny t3 t3s。
2020年10月发布WebLogic多个高危漏洞

2.禁止启用IIOP
2.1 登陆Weblogic控制台,找到启用IIOP选项,取消勾选,重启生效
2020年10月发布WebLogic多个高危漏洞

3.临时关闭后台/console/console.portal对外访问

正式修复

升级官方补丁:https://www.oracle.com/security-alerts/cpuoct2020.html

相关推荐: JAVA RMI反序列化知识详解

Author: Alpha@天融信阿尔法实验室 前言 在Java反序列化漏洞挖掘或利用的时候经常会遇见RMI,本文会讲述什么是RMI、RMI攻击方法、JEP290限制、绕过JEP290限制。 RMI简介 JAVA本身提供了一种RPC框架 RMI及Java 远程…

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
JAVASEC
  • 本文由 发表于 2021年4月17日16:07:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   2020年10月发布WebLogic多个高危漏洞https://cn-sec.com/archives/337081.html

发表评论

匿名网友 填写信息