「漏洞通告」Oracle公布三个Weblogic高危远程代码执行漏洞
2020-04-15
北京时间2020年4月15日,Oracle发布2020年4月关键补丁更新。此次更新共修复了397个危害程度不同的安全漏洞。其中包括三个针对 WebLogic Server ,评分为 9.8的严重漏洞(CVE-2020-2801、CVE-2020-2883、CVE-2020-2884)。
以上漏洞允许未经身份验证的攻击者通过T3协议网络访问并破坏易受攻击的WebLogic Server,成功的漏洞利用可导致WebLogic Server被攻击者接管,从而造成远程代码执行。
参考链接:
http://www.oracle.com/security-alerts/cpuapr2020.html#AppendixFMW
受影响产品版本
- Oracle WebLogic Server 10.3.6.0.0
- Oracle WebLogic Server 12.1.3.0.0
- Oracle WebLogic Server 12.2.1.3.0
- Oracle WebLogic Server 12.2.1.4.0
解决方案
Oracle已经发布补丁修复了上述漏洞,请用户参考官方通告及时下载受影响产品更新补丁,并参照补丁安装包中的readme文件进行安装更新,以保证长期有效的防护。
注:Oracle官方补丁需要用户持有正版软件的许可账号,使用该账号登陆http://support.oracle.com后,可以下载最新补丁。
缓解措施:
若用户暂时不能安装最新补丁,可通过禁用T3协议,对漏洞进行临时缓解。
官方通告: