无码一区二区三区,亚洲精品久久久久久一区二区,好吊视频一区二区三区,亚洲精品一区中文字幕乱码

官方公告

了解金山云最新公告

公告 > 安全公告 > 【風(fēng)險(xiǎn)通告】WebLogic多個(gè)遠(yuǎn)程代碼執(zhí)行漏洞
【風(fēng)險(xiǎn)通告】WebLogic多個(gè)遠(yuǎn)程代碼執(zhí)行漏洞

2020-10-21 00:00:00

2020年10月21日,金山云安全應(yīng)急響應(yīng)中心監(jiān)測(cè)到Oracle官方發(fā)布安全補(bǔ)丁,共修復(fù)420個(gè)漏洞,其中包括4個(gè)影響較大的Oracle Weblogic Server 遠(yuǎn)程代碼執(zhí)行漏洞。


此次修復(fù)的漏洞危害較大影響廣泛,建議廣大用戶及時(shí)更新安全補(bǔ)丁或采取暫緩措施,避免被黑客攻擊造成損失。


風(fēng)險(xiǎn)等級(jí)


嚴(yán)重


漏洞描述


WebLogic 是美國(guó) Oracle 公司出品的 Java 應(yīng)用服務(wù)器,WebLogic 是用于開(kāi)發(fā)、集成、部署和管理大型分布式 Web 應(yīng)用、網(wǎng)絡(luò)應(yīng)用和數(shù)據(jù)庫(kù)應(yīng)用。


本次披露的WebLogic 遠(yuǎn)程代碼執(zhí)行漏洞中,其中有4個(gè)(CVE-2020-14841、CVE-2020-14859、CVE-2020-146825、CVE-2020-14882),未經(jīng)授權(quán)的攻擊者可以通過(guò)IIOP、T3或HTTP協(xié)議訪問(wèn)WebLogic Server利用此漏洞,成功利用該漏洞繞過(guò)WebLoig的反序列化黑名單可以接管WebLogic服務(wù)器。


影響版本


CVE編號(hào)

協(xié)議

影響版本

?WebLogic多個(gè)遠(yuǎn)程代碼執(zhí)行漏洞



修復(fù)建議


一、 安裝官方補(bǔ)丁修復(fù)漏洞:

https://www.oracle.com/security-alerts/cpuapr2020.html



二、 如不方便升級(jí),可采取以下暫緩措施:


1) 關(guān)閉T3協(xié)議。如果不依賴T3協(xié)議進(jìn)行JVM通信,可通過(guò)暫時(shí)阻斷T3協(xié)議緩解此漏洞帶來(lái)的影響:1)進(jìn)入WebLogic控制臺(tái),在base_domain配置頁(yè)面中,進(jìn)入“安全”選項(xiàng)卡頁(yè)面,點(diǎn)擊“篩選器”,配置篩選器。2)在連接篩選器中輸入:WebLogic.security.net.ConnectionFilterImpl,在連接篩選器規(guī)則框中輸入: 7001 deny t3 t3s。3)保存生效(無(wú)需重啟)。

2) 關(guān)閉IIOP。用戶可通過(guò)關(guān)閉 IIOP 協(xié)議對(duì)相關(guān)漏洞進(jìn)行緩解。操作如下:

進(jìn)入WebLogic控制臺(tái),選擇“服務(wù)”->”AdminServer”->”協(xié)議”,取消“啟用IIOP”的勾選,并重啟 WebLogic 項(xiàng)目,使配置生效。

3) 臨時(shí)關(guān)閉后臺(tái)/console/console.portal對(duì)外訪問(wèn)






北京金山云網(wǎng)絡(luò)技術(shù)有限公司

2020/10/21

洞口县| 元谋县| 合水县| 双牌县| 文山县| 京山县| 亳州市| 正镶白旗| 喀喇| 建始县| 隆尧县| 临清市| 嘉黎县| 井陉县| 客服| 泸西县| 宝清县| 蒲城县| 佛学| 巴马| 金川县| 桂阳县| 彰化县| 抚顺县| 赣榆县| 娱乐| 常德市| 彰化市| 田阳县| 肥城市| 海安县| 平阴县| 永宁县| 徐州市| 武山县| 故城县| 利川市| 鄯善县| 林口县| 宿松县| 蒙城县|