Weblogic 多个远程代码执行漏洞 (CVE-2020-9546,CVE-2018-11058,CVE-2020-14625,CVE-2020-14644,CVE-2020-14645,CVE-2020-14687,CVE-2017-5645)
来源:scanv2020.07.15一 漏洞概述
近日,Oracle 发布了大量安全补丁,涉及旗下产品(Databa se Server、Weblogic Server、Java SE、MySQL等)的 433 个漏洞。此次修复的漏洞中包括 8 个和 Weblogic 相关的高危漏洞(CVE-2020-9546、CVE-2018-11058、CVE-2020-14625、CVE-2020-14644、CVE-2020-14645、CVE-2020-14687、CVE-2017-5645 Centralized Thirdparty Jars (Log4j)、CVE-2017-5645 Console (Log4j)),CVSS评分均为 9.8,利用难度低,攻击者可借此实现远程代码执行。其中 CVE-2020-14625、CVE-2020-14644、CVE-2020-14645、CVE-2020-14687 漏洞和 T3、IIOP 协议有关(T3、IIOP 协议用于在 WebLogic 和其他 Java 程序之间传输数据)。
二 影响版本
对于编号为CVE-2020-9546的漏洞,影响版本为:
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
对于编号为CVE-2018-11058的漏洞,影响版本为:
Weblogic Server 10.3.6.0.0
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0
对于编号为CVE-2020-14625的漏洞,影响版本为:
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0
对于编号为CVE-2020-14644的漏洞,影响版本为:
Weblogic Server 10.3.6.0.0
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0
对于编号为CVE-2020-14645的漏洞,影响版本为:
Weblogic Server 10.3.6.0.0
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0
对于编号为CVE-2020-14687的漏洞,影响版本为:
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0
对于编号为CVE-2017-5645 ( Centralized Thirdparty Jars (Log4j))的漏洞,影响版本为:
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0
对于编号为CVE-2017-5645(Console (Log4j))的漏洞,影响版本为:
Weblogic Server 10.3.6.0.0
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0
本次漏洞更新影响产品版本如下:
Weblogic Server 10.3.6.0.0
Weblogic Server 12.1.3.0.0
Weblogic Server 12.2.1.4.0
Weblogic Server 12.2.1.3.0
Weblogic Server 12.2.1.4.0
Weblogic Server 14.1.1.0.0
三 复现过程
无
四 影响范围
根据 ZoomEye 网络空间搜索引擎对关键字 “Weblogic Server ” 进行搜索,共得到 103,308 条 IP 历史记录,主要分布在荷兰、中国等国家。
五 修复建议
1.建议受影响用户安装官方补丁修复漏洞
补丁下载地址:https://www.oracle.com/security-alerts/cpujul2020.html
2.临时修复建议
(1)关闭T3协议:
如果您不依赖T3协议进行JVM通信,可通过暂时阻断T3协议缓解此漏洞带来的影响。
①进入Weblogic控制台,在base_domain配置页面中,进入“安全”选项卡页面,点击“筛选器”,配置筛选器。
②在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入: 7001 deny t3 t3s。
③保存生效(无需重启)。
(2)关闭IIOP:
用户可通过关闭 IIOP 协议对相关漏洞进行缓解。操作如下:
进入WebLogic控制台,选择“服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选,并重启 Weblogic 项目,使配置生效。
(3)白名单访问限制:
若业务允许,建议使用白名单限制weblogic的访问,从而降低风险。
六 时间线
知道创宇发布漏洞情报时间:2020年7月15日
七 相关链接
Oracle :https://www.oracle.com/security-alerts/cpujul2020.html
ZoomEye 网络空间搜索引擎:https://www.zoomeye.org/searchResult/report?q=app%3A%22Weblogic%20Server%22
热门文章
IBM官方发布WebSphere Application Server XXE漏洞(CVE-2020-4643)
2020年09月17日,IBM发布安全公告,WebSphere Application Server中存在一个安全漏洞,该漏洞是由于WebSphere Application Server在处理XML数据时容易受到XML外部实体注入(XXE)攻击。
FastAdmin远程代码执行0day漏洞(暂无编号)
2020年9月22日,FastAdmin远程代码执行漏洞细节曝光,黑客登录前台会员中心,即可远程GetShell,风险极大。
VMware官方发布Spring Framework反射型文件下载漏洞(CVE-2020-5421)
2020年9月17日,VMware发布安全公告,在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和较旧的不受支持的版本中,发现了一个存在于Spring Framework中的反射型文件下载(Reflected File Download,RFD)漏洞(CVE-2020-5421)。
关注知道创宇云安全
获取安全动态