2020年4月14日�,�,�,234钱包安全应急响应中心监控到Oracle 官方颁布了2020年4月安全布告更新�,�,�,其中涉及多个WebLogic Server高危安全缝隙�。�。
目前厂商颁布了补丁�,�,�,建议受影响的用户尽快升级补丁并节制T3和谈的接见�,�,�,预防损失�。�。
缝隙信息:
经234钱包安全应急响应团队分析�,�,�,本次布告涉及到高危安全问题如下�:�:
CVE-2020-2801,CVE-2020-2883,CVE-2020-2884 Oracle WebLogic Server Core组件�、T3和谈远程代码执行缝隙
CVE-2020-2867 Oracle WebLogic Server Web Container组件�、HTTP和谈远程代码执行缝隙
CVE-2020-2828 Oracle WebLogic Server WLS Web Services组件�、T3和谈远程代码执行缝隙
CVE-2020-2798 Oracle WebLogic Server WLS Web Services组件�、T3和谈远程代码执行缝隙
CVE-2020-2811 Oracle WebLogic Server Console组件�、HTTP和谈远程代码执行缝隙
CVE-2020-2766 Oracle WebLogic Server Console组件�、HTTP和谈远程代码执行缝隙
CVE-2020-2829 Oracle WebLogic Server Management Services组件�、HTTP和谈远程代码执行缝隙
CVE-2020-2869 Oracle WebLogic Server Console组件�、HTTP和谈远程代码执行缝隙
CVE-2020-2915 Oracle Coherence T3和谈远程代码执行缝隙
影响版本:
CVE-2020-2801 影响版本�:�:
WebLogic Server 10.3.6.0.0
WebLogic Server 12.1.3.0.0
WebLogic Server 12.2.1.3.0
WebLogic Server 12.2.1.4.0
CVE-2020-2883 影响版本�:�:
Weblogic Server 10.3.6.0.0
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
CVE-2020-2884 影响版本�:�:
Weblogic Server 12.2.1.4.0
CVE-2020-2915 影响版本�:�:
Oracle Coherence 3.7.1.0
Oracle Coherence 12.1.3.0.0
Oracle Coherence 12.2.1.3.0
Oracle Coherence 12.2.1.4.0
修复规划�:�:
1. 实时更新补�。��:�:
https://www.oracle.com/security-alerts/cpuapr2020.html
2. 禁用T3和谈
3. 不容T3端口对外盛开, 或者限度可接见T3端口的IP起源
北京234钱包网络技术有限公司
2020/4/15