234钱包

2020年7月15日，234钱包安全应急响应中心监测到Oracle官方颁布安全补丁，共修复433个缝隙，涉及旗下WebLogic Server、Database Server、Java SE、MySQL等多个产品。。

这次修复的缝隙中有8个WebLogic 远程代码执行缝隙，CVSS评分均为9.8分，
：：Φ燃陡呃媚讯鹊，建议宽大用户实时更新安全补丁或采取暂缓措施，预防被黑客攻击造成损失。。

风险等级

高危

缝隙描述

WebLogic 是美国 Oracle 公司出品的 Java 利用服务器，WebLogic 是用于开发、集成、部署和治理大型散布式 Web 利用、网络利用和数据库利用。。

本次披露的WebLogic 远程代码执行缝隙中，其中有4个（CVE-2020-14625、CVE-2020-14644、CVE-2020-14687、CVE-2020-14645），未经授权的攻击者能够利用IIOP或者T3和谈，绕过WebLoig的反序列化黑名单，从而收受WebLogic服务器。。

影响版本

修复建议

一、 装置官方补丁修复缝隙
：：

https://www.oracle.com/security-alerts/cpujul2020.html

二、 如不方便升级，可采取以下暂缓措施
：：

1) 关闭T3和谈。。若是不依赖T3和谈进行JVM通讯，可通过临时阻断T3和谈缓解此缝隙带来的影响
：：1）进入WebLogic节制台，在base_domain配置页面中，进入“安全”选项卡页面，点击“筛选器”，配置筛选器。。2）在衔接筛选器中输入
：：WebLogic.security.net.ConnectionFilterImpl，在衔接筛选器规定框中输入
：： 7001 deny t3 t3s。。3）保留生效（无需重启）。。

2) 关闭IIOP。。用户可通过关闭 IIOP 和谈对有关缝隙进行缓解。。操作如下
：：

进入WebLogic节制台，选择“服务”->”AdminServer”->”和谈”，取缔“启用IIOP”的勾选，并重启 WebLogic 项目，使配置生效。。

3) 白名单接见限度。。若业务允许，建议使用白名单限度WebLogic的接见，从而降低风险。。

参考链接

https://www.oracle.com/security-alerts/cpujul2020.html

北京234钱包网络技术有限公司

2020/07/15