发布日期：2020-01-15
更新日期：2020-01-17

受影响系统：

Oracle Fusion Middleware 12.1.3.0
Oracle Fusion Middleware 10.3.6.0.0

描述：

---

CVE(CAN) ID: CVE-2020-2546

Oracle Fusion Middleware（Oracle融合中间件）是一套面向企业和云环境的业务创新平台。WebLogic是是商业市场上主要的Java应用服务器软件之一。

Oracle Fusion Middleware的WebLogic Server产品在Application Container - JavaEE组件的实现中存在安全漏洞，未经身份认证的攻击者经默认启用的"T3协议"，通过远程执行命令利用此漏洞接管WebLogic Server，影响组件的机密性、完整性、可用性。此漏洞在WebLogic Server默认配置下即可触发，无需管理员身份认证及额外交互。

<*来源：Matthias Kaiser
  
  链接：https://www.oracle.com/security-alerts/cpujan2020.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

*可通过临时禁用T3协议连接对此漏洞进行缓解。

操作如下：
进入WebLogic控制台，在base_domain配置页面中，进入“安全选项卡”->“筛选器”->“配置筛选器”。

在连接筛选器中输入：weblogic.security.net.ConnectionFilterImpl，

在连接筛选器规则框中输入 “7001 deny t3 t3s” 并重启 Weblogic 项目，使配置生效。

厂商补丁：

Oracle
------
WebLogic Server 10.3.6和12.1.3版本的补丁将于2020年1月31日发布，请用户及时关注官方通告。在补丁未发布期间，要尽快采取缓解措施。

https://www.oracle.com/security-alerts/cpujan2020.html

注：Oracle官方补丁需要用户持有正版软件的许可账号，使用该账号登陆 https://support.oracle.com 后，可以下载最新补丁。

浏览次数：1623
严重程度：0（网友投票）