发布日期：2020-01-15
更新日期：2020-01-17

受影响系统：

Oracle Fusion Middleware 12.2.1.4.0
Oracle Fusion Middleware 12.1.3.0.0
Oracle Fusion Middleware 12.1.3.0
Oracle Fusion Middleware 10.3.6.0.0

描述：

---

CVE(CAN) ID: CVE-2020-2551

Oracle Fusion Middleware（Oracle融合中间件）是一套面向企业和云环境的业务创新平台。WebLogic是是商业市场上主要的Java应用服务器软件之一。

Oracle Fusion Middleware的WebLogic Server产品在WLS Core组件的实现中存在安全漏洞，未经身份认证的远程攻击者经默认启用的"IIOP协议"，通过远程执行命令利用此漏洞接管WebLogic Server，影响组件的机密性、完整性、可用性。此漏洞在WebLogic Server默认配置下即可触发，无需管理员身份认证及额外交互。

<*来源：Stefano Ciccone
  
  链接：https://www.oracle.com/security-alerts/cpujan2020.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

*可通过关闭IIOP协议对此漏洞进行缓解。操作如下：

在Weblogic控制台中，选择“服务”->”AdminServer”->”协议”，取消“启用IIOP”的勾选。并重启Weblogic项目，使配置生效。

厂商补丁：

Oracle
------
* WebLogic Server 12.2.1.3和12.2.1.4版本已经发布补丁，请用户及时下载补丁程序并安装更新。
* WebLogic Server 10.3.6和12.1.3版本的补丁将于2020年1月31日发布，请用户及时关注官方通告。在补丁未发布期间，要尽快采取缓解措施。

公告链接：https://www.oracle.com/security-alerts/cpujan2020.html

注：Oracle官方补丁需要用户持有正版软件的许可账号，使用该账号登陆 https://support.oracle.com 后，可以下载最新补丁。

浏览次数：1572
严重程度：0（网友投票）