91百色国产视频|亚洲欧美伦理中文字幕在线|亚洲中文乱码在线|天堂影音av在线|国产激情人妻熟女|AV无码高清在线|超碰在线免费观看操|亚洲va中文字幕|欧美极品性爱四区|国产精品二区在线观看

2020年7月15日，金山云安全應(yīng)急響應(yīng)中心監(jiān)測(cè)到Oracle官方發(fā)布安全補(bǔ)丁，共修復(fù)433個(gè)漏洞，涉及旗下WebLogic Server、Database Server、Java SE、MySQL等多個(gè)產(chǎn)品。

此次修復(fù)的漏洞中有8個(gè)WebLogic 遠(yuǎn)程代碼執(zhí)行漏洞，CVSS評(píng)分均為9.8分，危害等級(jí)高利用難度低，建議廣大用戶及時(shí)更新安全補(bǔ)丁或采取暫緩措施，避免被黑客攻擊造成損失。

風(fēng)險(xiǎn)等級(jí)

高危

漏洞描述

WebLogic 是美國(guó) Oracle 公司出品的 Java 應(yīng)用服務(wù)器，WebLogic 是用于開(kāi)發(fā)、集成、部署和管理大型分布式 Web 應(yīng)用、網(wǎng)絡(luò)應(yīng)用和數(shù)據(jù)庫(kù)應(yīng)用。

本次披露的WebLogic 遠(yuǎn)程代碼執(zhí)行漏洞中，其中有4個(gè)（CVE-2020-14625、CVE-2020-14644、CVE-2020-14687、CVE-2020-14645），未經(jīng)授權(quán)的攻擊者可以利用IIOP或者T3協(xié)議，繞過(guò)WebLoig的反序列化黑名單，從而接管WebLogic服務(wù)器。

影響版本

修復(fù)建議

一、 安裝官方補(bǔ)丁修復(fù)漏洞：

https://www.oracle.com/security-alerts/cpujul2020.html

二、 如不方便升級(jí)，可采取以下暫緩措施：

1) 關(guān)閉T3協(xié)議。如果不依賴T3協(xié)議進(jìn)行JVM通信，可通過(guò)暫時(shí)阻斷T3協(xié)議緩解此漏洞帶來(lái)的影響：1）進(jìn)入WebLogic控制臺(tái)，在base_domain配置頁(yè)面中，進(jìn)入“安全”選項(xiàng)卡頁(yè)面，點(diǎn)擊“篩選器”，配置篩選器。2）在連接篩選器中輸入：WebLogic.security.net.ConnectionFilterImpl，在連接篩選器規(guī)則框中輸入： 7001 deny t3 t3s。3）保存生效（無(wú)需重啟）。

2) 關(guān)閉IIOP。用戶可通過(guò)關(guān)閉 IIOP 協(xié)議對(duì)相關(guān)漏洞進(jìn)行緩解。操作如下：

進(jìn)入WebLogic控制臺(tái)，選擇“服務(wù)”->”AdminServer”->”協(xié)議”，取消“啟用IIOP”的勾選，并重啟 WebLogic 項(xiàng)目，使配置生效。

3) 白名單訪問(wèn)限制。若業(yè)務(wù)允許，建議使用白名單限制WebLogic的訪問(wèn)，從而降低風(fēng)險(xiǎn)。

參考鏈接

https://www.oracle.com/security-alerts/cpujul2020.html

北京金山云網(wǎng)絡(luò)技術(shù)有限公司

2020/07/15