预警Oracle 发布2021年1月关键补丁更新,修复多个严重漏洞

释放双眼,带上耳机,听听看~!

美国时间 2021年1月20日,Oracle发布2021年1月关键补丁更新,修复了多个评分为 9.8 的严重漏洞。其中包括安全安全发现的:

• CVE-2021-2109 Weblogic Server远程代码执行漏洞,等级:高危

以及 蚂蚁安全非攻实验室发现的两个严重漏洞:

CVE-2020-14756 jep290绕过导致远程代码执行漏洞,等级:严重

CVE-2021-2075 Derby privileges权限代码执行漏洞,等级:严重

漏洞描述

2021年1月20日,Oracle官方发布了漏洞补丁,修了包括 CVE-2021-2109 Weblogic Server远程代码执行漏洞在内的多个高危严重漏洞。CVE-2021-2109 中,攻击者可构造恶意请求,造成JNDI注入,执行任意代码,从而控制服务器。本站安全专题提醒 Weblogic 用户尽快采取安全措施阻止漏洞攻击。

漏洞评级

CVE-2020-14756:严重

CVE-2021-2075:严重

CVE-2021-1994:严重

CVE-2021-2047:严重

CVE-2021-2064:严重

CVE-2021-2108:严重

CVE-2021-2109:高危

CVE-2021-1995 :高危

CVE-2021-2109 高危

漏洞证明

CVE-2021-2109
预警Oracle 发布2021年1月关键补丁更新,修复多个严重漏洞

影响版本

WebLogic 10.3.6.0.0

WebLogic 12.1.3.0.0

WebLogic 12.2.1.3.0

WebLogic 12.2.1.4.0

WebLogic 14.1.1.0.0

安全建议

一、禁用T3协议

如果您不依赖T3协议进行JVM通信,可通过暂时阻断T3协议缓解此漏洞带来的影响

1. 进入Weblogic控制台,在base_domain配置页面中,进入“安全”选项卡页面,点击“筛选器”,配置筛选器。

2. 在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入:* * 7001 deny t3 t3s。

预警Oracle 发布2021年1月关键补丁更新,修复多个严重漏洞

二、禁止启用IIOP

登陆Weblogic控制台,找到启用IIOP选项,取消勾选,重启生效

预警Oracle 发布2021年1月关键补丁更新,修复多个严重漏洞

三、临时关闭后台/console/console.portal对外访问

四、升级官方安全补丁

云盾WAF已可防护该类漏洞,并提供7天免费漏洞应急服务,为您争取漏洞修复时间,应急开通地址:云中心

给TA打赏
共{{data.count}}人
人已打赏
安全漏洞

预警ZenTaoPMS 文件上传漏洞(CNVD-C-2020-121325)

2020-12-11 11:36:11

安全漏洞

【漏洞通告】YApi管理平台任意代码执行漏洞

2021-7-11 11:36:11

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索