CVE-2020-2546 Weblogic T3协议风险通告

CVE-2020-2546 Weblogic T3协议风险通告

0x00 漏洞背景

2020年1月15日,360CERT监测到oracle官方发布了CVE-2020-2546漏洞通告,漏洞等级为高危。

Weblogic是Oracle出品的用于构建和部署企业Java EE应用程序的中间件,被企业用户广泛应用于生产环境中。

T3是用于在WebLogic服务器和其他类型的Java程序之间传输信息的协议

360CERT判断漏洞等级为高危,危害面/影响面大。建议使用Weblogic的用户关闭或禁用T3协议,以免遭受恶意攻击。

0x01 漏洞详情

攻击者能够利用Weblogic T3协议进行反序列化漏洞的利用从而造成远程代码执行,危害面/影响面大,目前暂未公布详细细节

0x02 影响版本

Oracle WebLogic Server

  • 10.3.6.0.0
  • 12.1.3.0.0

0x03 修复建议

升级补丁,参考oracle官网发布的补丁 如果不依赖T3协议进行JVM通信,禁用T3协议。

进入WebLogic控制台,在base_domain配置页面中,进入安全选项卡页面,点击筛选器,配置筛选器。 在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入 7001 deny t3 t3s 保存生效(需重启)

0x04 时间线

2020-01-15 oracle官网发布通告

2020-01-15 360CERT发出漏洞通告

0x05 参考链接

  1. Oracle Critical Patch Update Advisory – January 2020

原文 

https://www.anquanke.com/post/id/197311

本站部分文章源于互联网,本着传播知识、有益学习和研究的目的进行的转载,为网友免费提供。如有著作权人或出版方提出异议,本站将立即删除。如果您对文章转载有任何疑问请告之我们,以便我们及时纠正。

PS:推荐一个微信公众号: askHarries 或者qq群:474807195,里面会分享一些资深架构师录制的视频录像:有Spring,MyBatis,Netty源码分析,高并发、高性能、分布式、微服务架构的原理,JVM性能优化这些成为架构师必备的知识体系。还能领取免费的学习资源,目前受益良多

转载请注明原文出处:Harries Blog™ » CVE-2020-2546 Weblogic T3协议风险通告

赞 (0)
分享到:更多 ()

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址