ITPub博客

首页 > 应用开发 > Java > Weblogic核心组件反序列化漏洞修复方案(CVE-2020-14825)

Weblogic核心组件反序列化漏洞修复方案(CVE-2020-14825)

原创 Java 作者:jaymarco 时间:2020-10-26 00:03:59 0 删除 编辑

一、漏洞描述

2020年10月20日,Oracle官方网站公布了的关于WebLogic安全漏 ,其中漏洞风险最高的是weblogic server服务漏洞它对应CVE编号是CVE-2020-14882,WebLogicServer Core组件的安全漏洞对应 CVE编号是CVE-2020-14841和 CVE-2020-14825。这些漏洞需要运维项目中重点关注,漏洞攻击的目标 是未经身份验证的攻击者通过HTTP、IIOP、T3协议发送恶意请求,从而从weblogic中间件服务行代码,最终控制目标服务器,达到攻击者的目标。
二、漏洞分析

针对weblogic反序列化漏洞,Oracle官网从2020年10月20日关键补丁更新开始,Oracle列出了解决第三方组件中不可利用的漏洞的更新,这些漏洞包含在其各自的Oracle产品中的产品风险矩阵下。有人试图恶意利用Oracle已发布安全修补程序的漏洞进行攻击。在某些情况下,据报道,攻击者之所以成功,是因为目标客户未能应用可用的Oracle补丁程序。因此,Oracle强烈建议客户继续使用受支持的版本,并立即应用关键补丁更新安全补丁。


三、漏洞级别

CVE对上述风险的综合评级为“ 高危”。
四、影响范围

软件

受影响的版本

weblogic Server

Weblogic Server10.3.6.0.0

Weblogic Server12.1.3.0.0

Weblogic Server12.2.1.3.0

Weblogic Server12.2.1.4.0

Weblogic Server14.1.1.0.0

五、漏洞修复建议

  Oracle官方针对weblogic server软件对应版本在 2020 10 20 日已经发布了最新补丁包来修复,建议用户项目中使用了weblogic软件的系统进行自查,如有对应漏洞版本还需要及时修复,以免带来不必要的风险与损失。

Weblogic Server 10.3.6 漏洞修复方法

1、JDK版本升级到JDK 7 u191或最新版本

2、更新weblogic最新PSU补丁包10.3.6.0.201020

补丁下载地址:

https://updates.oracle.com/Orion/Services/download/p31641257_1036_Generic.zip?aru=23872336&patch_file=p31641257_1036_Generic.zip

Weblogic Server 12.1.3 漏洞修复方法

1、JDK版本升级到JDK 7 u191或最新版本

2、更新weblogic最新PSU补丁包12.1.3.0.201020

补丁下载地址:

https://updates.oracle.com/Orion/Services/download/p31656851_121300_Generic.zip?aru=23772998&patch_file=p31656851_121300_Generic.zip

Weblogic Server 12.2.1.3 漏洞修复方法

1、JDK版本升级到JDK 8u181或最新版本

2、更新weblogic最新PSU补丁包12.2.1.3.201001

补丁下载地址:

https://updates.oracle.com/Orion/Services/download/p31961038_122130_Generic.zip?aru=23842262&patch_file=p31961038_122130_Generic.zip

Weblogic Server 12.2.1.4 漏洞修复方法

1、更新weblogic最新PSU补丁包12.2.1.4.201001

补丁下载地址:

https://updates.oracle.com/Orion/Services/download/p31960985_122140_Generic.zip?aru=23842278&patch_file=p31960985_122140_Generic.zip

Weblogic Server 14.1.1.0 漏洞修复方法

1、更新weblogic最新PSU补丁包14.1.1.0.200930

补丁下载地址:

https://updates.oracle.com/Orion/Services/download/p31957062_141100_Generic.zip?aru=23840361&patch_file=p31957062_141100_Generic.zip

六、参考资料

https://www.oracle.com/security-alerts/cpuoct2020.html

https://www.secrss.com/articles/26431



有需要的朋友可以关注我的公众号,文章每日一更


来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/28833846/viewspace-2729563/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论
负责数据库、中间件、大数据等基础软件建设、优化和业务保障工作。具有10年的电信与银行企业一线/二线运维管理经验。目前专注研究云计算、中间件和数据库等领域技术研究。持有Oracle OCP、weblogic OCP、Docker容器、PGCE和阿里云ACP等认证

注册时间:2020-06-22

  • 博文量
    73
  • 访问量
    31876