您的需求已经提交,我们将在48小时内联系您
全国服务热线:400-1000-221
确定
免费享受企业级云安全服务
获取手机验证码
{{message}}
免费试用

Oracle 发布2021年1月Oracle重要补丁更新

作者:
发布时间:2021-01-25

  美国时间 2021年1月20日,Oracle发布2021年1月关键补丁更新,修复了多个评分为 9.8 的严重漏洞。

  • CVE-2021-2109 Weblogic Server远程代码执行漏洞,等级:高危

  • CVE-2020-14756 jep290绕过导致远程代码执行漏洞,等级:严重

  • CVE-2021-2075 Derby privileges权限代码执行漏洞,等级:严重

  漏洞描述

  2021年1月20日,Oracle官方发布了漏洞补丁,修了包括 CVE-2021-2109 Weblogic Server远程代码执行漏洞在内的多个高危严重漏洞。CVE-2021-2109 中,攻击者可构造恶意请求,造成JNDI注入,执行任意代码,从而控制服务器。

  漏洞评级

  CVE-2020-14756:严重

  CVE-2021-2075:严重

  CVE-2021-1994:严重

  CVE-2021-2047:严重

  CVE-2021-2064:严重

  CVE-2021-2108:严重

  CVE-2021-2109:高危

  CVE-2021-1995 :高危

  CVE-2021-2109 高危

  影响版本

  Weblogic Server

  10.3.6.0.0,

  12.1.3.0.0,

  12.2.1.3.0,

  12.2.1.4.0,

  14.1.1.0.0

  其他漏洞影响的组件可详细参考官方公告

  修复建议

  官方已发布漏洞修复更新,建议您及时更新相关官方补丁避免安全风险。

  其他临时缓解措施:

  1.禁用T3协议,如果不依赖T3协议进行JVM通信,可通过暂时阻断T3协议缓解此漏洞带来的影响:

  1)进入Weblogic控制台,在base_domain配置页面中打开“安全”选项卡页面,点击“筛选器”,配置筛选器。

  2)在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,并在连接筛选器规则框中输入:* * 7001 deny t3 t3s。

  2.禁止启用IIOP:

  登陆Weblogic控制台,找到启用IIOP选项,取消勾选,重启生效

  3.临时关闭后台/console/console.portal对外访问

  【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外

  漏洞参考

  官方安全公告:https://www.oracle.com/security-alerts/cpujan2021.html

标签: