0x01 漏洞详情

2020年7月14日，Oracle官方发布安全公告，修复了433个安全漏洞，涉及了Oracle Weblogic、Oracle Coherence等多款产品。其中包括四个评分为9.8的Oracle WebLogic Server反序列化漏洞（CVE-2020-14625、CVE-2020-14644、CVE-2020-14645 、CVE-2020-14687），两个评分为10的Oracle Communications Applications安全漏洞（CVE-2020-14701、CVE-2020-14606）。

Oracle WebLogic Server反序列化漏洞

这四个漏洞导致未经身份验证的攻击者通过IIOP、T3协议发送恶意请求，从而在Oracle WebLogic Server执行恶意代码。

Oracle Communications Applications安全漏洞

这两个漏洞无需身份验证即可远程利用。

0x02 处置建议

目前厂商已发布补丁，下载链接：

https://www.oracle.com/security-alerts/cpujul2020.html

Weblogic临时修补建议：

1. 如果不依赖T3协议进行JVM通信，禁用T3协议。

 进入WebLogic控制台，在base_domain配置页面中，进入安全选项卡页面，点击筛选器，配置筛选器；

 在连接筛选器中输入：weblogic.security.net.ConnectionFilterImpl，在连接筛选器规则框中输入 7001 deny t3 t3s保存生效；

 重启Weblogic项目，使配置生效。

2. 如果不依赖IIOP协议进行JVM通信，禁用IIOP协议。

 进入WebLogic控制台，在base_domain配置页面中，进入安全选项卡页面；

 选择“服务”->”AdminServer”->”协议”，取消“启用IIOP”的勾选；

 重启Weblogic项目，使配置生效。

0x03 相关新闻

0x04 参考链接

https://www.oracle.com/security-alerts/cpujul2020.html

0x05 时间线

2020-07-14 Oracle官方发布安全公告

2020-07-15 VSRC发布漏洞通告