手机教育网

信息网首页|新闻|政务|考试|中招|资源|教研|博客|大赛|校园|作文|专题|录播课|视频|排行榜|网管|就业|调查|名师|班班通|E卡通
您当前的位置:首页>郑州网管>网管新闻
Oracle Coherence&WebLogic反序列化远程代码执行漏洞风险通告(CVE-2020-2555)
发布日期:2020-03-16 ┆ 阅读次数:551

腾讯安全威胁情报中心监测到 Oracle Coherence 及 Weblogic 被爆存在反序列化远程代码执行漏洞,该漏洞允许未经身份验证的攻击者通过精心构造的T3网络协议请求进行攻击,攻击者成功利用该漏洞可在目标主机上执行任意系统命令。

【背景】
腾讯安全威胁情报中心监测到 Oracle Coherence 及 Weblogic 被爆存在反序列化远程代码执行漏洞,该漏洞允许未经身份验证的攻击者通过精心构造的T3网络协议请求进行攻击,攻击者成功利用该漏洞可在目标主机上执行任意系统命令。

腾讯安全专家建议企业网管及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
 
【漏洞详情】
腾讯安全威胁情报中心监控到1月份被Oracle修复的基于T3协议触发的漏洞(CVE-2020-2555)细节近日在ZDI被公开,该漏洞影响Oracle Coherence 及 Weblogic,该漏洞允许未经身份验证的攻击者构造特定T3网络协议请求进行攻击,成功利用该漏洞可在目标主机上执行任意操作系统命令。

【风险等级】高风险
 
【漏洞风险】
  远程代码执行
 
【影响版本】
  Oracle Coherence 3.7.1.17
  Oracle Coherence & WebLogic 10.3.6
  Oracle Coherence & WebLogic 12.1.3.0.0
  Oracle Coherence & WebLogic 12.2.1.3.0
  Oracle Coherence & WebLogic 12.2.1.4.0

【检测方法】
腾讯T-Sec 网络资产风险检测系统(腾讯御知)可全面检测企业网络资产是否受安全漏洞影响。腾讯T-Sec 网络资产风险检测系统(腾讯御知)是一款自动探测企业网络资产并识别其风险的产品。可全方位监控企业网站、云主机、小程序等资产存在的风险,包含弱口令检测、Web 漏洞扫描、违规敏感内容检测、网站篡改检测、挂马挖矿检测等多类资产风险。

企业用户可扫描以下二维码,免费使用腾讯T-Sec 网络资产风险检测系统(腾讯御知)。
  
【修复建议】
  Oracle 官方均已发布漏洞修复更新,腾讯云安全团队建议您:
  1、更新系统补丁:https://www.oracle.com/security-alerts/cpujan2020.html
  2、采取缓解方案:如果不依赖T3协议进行JVM通信,禁用T3协议。操作如下:
   1)进入WebLogic控制台,在 base_domain配置页面中,进入安全选项卡页面,点击筛选器,配置筛选器;
   2)在连接筛选器中输入: weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入: 
       127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s(T3 和 T3S 协议的所有端口只允许本地访问)
   3)保存生效(需重启)


【漏洞参考】
1.官方更新通告:https://www.oracle.com/security-alerts/cpujan2020.html

2.ZDI安全分析:https://www.zerodayinitiative.com/blog/2020/3/5/cve-2020-2555-rce-through-a-deserialization-bug-in-oracles-weblogic-server

关于我们 | 栏目介绍 | 联系我们 | 网站备案 | 教育网站导航
© 2001 - 2013 版权所有:郑州教育信息网 地址:郑州市南阳路314号 邮编450053 豫ICP备10019805号-1
市教育局办公室:66976996 传真:66961519 信息中心:66955375 机房:66995447 传真:63951012