当前位置: 首页 > 网络安全 > 正文
关于Weblogic(CVE-2020-2551、 CVE-2020-2546)远程代码漏洞风险提示

来源/编辑: 信息化技术中心 发布日期:2020年01月17日 15:14 浏览次数:[]

 背景介绍

       WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
 

1、漏洞描述

CVE-2020-2551

该漏洞存在于Weblogic WLS组件IIOP协议。

互联网内部对象请求代理协议(IIOP)是一个实现互操作性的协议,它使得由不同语言编写的分布式程序在因特网中可以实现彼此的交流沟通。它是行业战略性标准,也即公用对象请求代理程序结构(Common Object Request Broker Architecture,CORBA)中至关重要的一个部分。

 

CVE-2020-2546

该漏洞存在于Weblogic T3协议。

T3也称为丰富套接字,是BEA内部协议,功能丰富,可扩展性好。T3是多工双向和异步协议,经过高度优化,只使用一个套接字和一条线程。借助这种方法,基于Java的客户端可以根据服务器方需求使用多种RMI对象,但仍使用一个套接字和一条线程。

WebLogic Server 中的 RMI(远程方法调用) 通信使用 T3 协议在 WebLogic Server 和其他 Java 程序(包括客户端及其他 WebLogic Server 实例)间传输数据。

 

2、漏洞编号

CVE-2020-2551

CVE-2020-2546

 

3、漏洞等级:高危
 

4、受影响版本

CVE-2020-2551:

10.3.6.0.0

12.1.3.0.0

12.2.1.3.0

12.2.1.4.0

 

CVE-2020-2546:

10.3.6.0.0

12.1.3.0.0

 

5、修复建议:

参考oracle官网发布的补丁 https://support.oracle.com/。如果生产环境中不依靠T3协议来进行通信,建议禁用T3协议。