Oracle WebLogic多个安全漏洞提示

1.漏洞公告

2020年1月14日，Oracle官方发布了2020年1月安全更新公告，包含了其家族多个产品的安全漏洞公告。

其中有两个Oracle WebLogic Server的高危漏洞，对应CVE编号：CVE-2020-2546和CVE-2020-2551，漏洞公告链接：

https://www.oracle.com/security-alerts/cpujan2020.html

2.影响范围

CVE-2020-2546漏洞影响版本：

WebLogic Server 10.3.6.0.0

WebLogic Server 12.1.3.0.0

CVE-2020-2551漏洞影响版本：

Weblogic Server 10.3.6.0.0

Weblogic Server 12.1.3.0.0,

Weblogic Server 12.2.1.3.0

Weblogic Server 12.2.1.4.0

补丁下载：

用户可以登录Oracle官网下载安全更新补丁，不过目前仅有12.2.1.4.0版本提供，其他版本请及时关注官方补丁发布通知。

3.漏洞描述

CVE-2020-2546漏洞：主要涉及WebLogic Server的Application Container - JavaEE组件，默认监听的T3协议存在远程代码执行漏洞，成功利用该漏洞可以获取WebLogic Server的服务运行权限，建议尽快更新安全补丁。

CVE-2020-2551漏洞：主要涉及WebLogic Server的WLS Core Components组件，默认监听的IIOP协议存在反序列化远程代码执行漏洞，以Java接口的形式对远程对象进行访问，该漏洞可以绕过Oracle官方在2019年10月份发布的最新安全补丁。攻击者可以通过IIOP协议远程访问Weblogic Server服务器上的远程接口，传入恶意数据，成功利用该漏洞可以获取WebLogic Server的服务运行权限，建议尽快更新安全补丁。

4.缓解措施

高危：目前漏洞细节和利用代码暂未公开，但恶意攻击者可能对安全更新补丁进行对比分析出漏洞原因，并进一步开发出漏洞利用代码或工具，建议及时测试并安装安全更新补丁，或采取临时缓解措施加固系统。

临时缓解措施：

CVE-2020-2546漏洞：建议尽快安装安全更新补丁（可以使用BSU智能更新）或使用连接筛选器临时阻止外部访问7001端口的T3/T3s协议：

连接筛选器：weblogic.security.net.ConnectionFilterImpl

规则示例：

0.0.0.0/0 * 7001 deny t3 t3s   #拒绝所有访问

允许和拒绝指定IP规则示例：

192.168.1.0/24 * 7001 allow t3 t3s #允许指定IP段访问

192.168.2.0/24 * 7001 deny t3 t3s  #拒绝指定IP段访问

连接筛选器说明参考：

https://docs.oracle.com/cd/E24329_01/web.1211/e24485/con_filtr.htm#SCPRG377

CVE-2020-2551漏洞：可以通过临时关闭IIOP协议对该漏洞进行缓解。操作如下：

在Weblogic控制台中，选择“服务”->”AdminServer”->”协议”，取消“启用IIOP”的勾选。并重启Weblogic项目，使配置生效。