远程连接oracle_【高危漏洞通告】OracleCoherence远程代码执行漏洞（CVE20202555）

漏洞概述

2020年1月15日&＃xff0c;Oracle官方发布了2020年1月关键补丁更新公告&＃xff0c;修复了334个不同程度的漏洞。其中包括一个Oracle Coherence反序列化远程代码执行漏洞(CVE-2020-2555)&＃xff0c;CVSS评分为9.8&＃xff1b;该漏洞允许未经身份验证的攻击者通过构造T3网络协议请求进行攻击&＃xff0c;成功利用该漏洞可实现在目标主机上执行任意代码。使用了Oracle Coherence库的产品受此漏洞影响&＃xff0c;在WebLogicServer 11g Release(10.3.4)及以上版本的安装包中默认集成了Oracle Coherence库。

Coherence是Oracle建立一种高可靠和高扩展集群计算的一个关键部件&＃xff0c;Coherence在可靠的、高度可伸缩的对等集群协议之上提供了复制的、分布式的(分区的)数据管理和缓存服务。目前漏洞细节已公开&＃xff0c;请受影响的用户及时进行防护。漏洞复现成功的截图如下&＃xff1a;

参考链接&＃xff1a;

https://www.oracle.com/security-alerts/cpujan2020.html

https://docs.oracle.com/cd/E18686_01/coh.37/e18692/activecache.htm#COHTU725

漏洞等级

漏洞影响范围

受影响版本

Oracle Coherence 3.7.1.17

Oracle Coherence & WebLogic 12.1.3.0.0(WebLogic12C后&＃xff0c;WebLogic和Coherence共享版本)

Oracle Coherence & WebLogic 12.2.1.3.0(WebLogic12C后&＃xff0c;WebLogic和Coherence共享版本)

Oracle Coherence & WebLogic 12.2.1.4.0(WebLogic12C后&＃xff0c;WebLogic和Coherence共享版本)

漏洞处置建议

Oracle官方补丁需要用户持有正版软件的许可账号&＃xff0c;使用该账号登陆https://support.oracle.com后&＃xff0c;可以下载最新补丁。

参考&＃xff1a;https://www.oracle.com/security-alerts/cpujan2020.html

方式二&＃xff1a;临时解决方案

若暂时无法安装修复补丁&＃xff0c;且不依赖T3协议进行JVM通信&＃xff0c; 可通过控制T3协议的访问来临时阻断针对利用T3协议漏洞的攻击。Weblogic Server 提供了名为weblogic.security.net.ConnectionFilterImpl 的默认连接筛选器&＃xff0c;此连接筛选器接受所有传入连接&＃xff0c;可通过此连接筛选器配置规则&＃xff0c;对t3及t3s协议进行访问控制&＃xff0c;详细操作步骤如下&＃xff1a;

1. 进入Weblogic控制台&＃xff0c;在base_domain的配置页面中&＃xff0c;进入“安全”选项卡页面&＃xff0c;点击“筛选器”&＃xff0c;进入连接筛选器配置。

2. 在连接筛选器中输入&＃xff1a;weblogic.security.net.ConnectionFilterImpl&＃xff0c; 参考以下写法&＃xff0c;在连接筛选器规则中配置符合企业实际情况的规则&＃xff1a;

3. 保存后若规则未生效&＃xff0c;建议重新启动Weblogic服务(重启Weblogic服务会导致业务中断&＃xff0c;建议相关人员评估风险后&＃xff0c;再进行操作)。以Windows环境为例&＃xff0c;重启服务的步骤如下&＃xff1a;

·         进入域所在目录下的bin目录&＃xff0c;在Windows系统中运行stopWebLogic.cmd文件终止weblogic服务&＃xff0c;Linux系统中则运行stopWebLogic.sh文件。

·         待终止脚本执行完成后&＃xff0c;再运行startWebLogic.cmd或startWebLogic.sh文件启动Weblogic&＃xff0c;即可完成Weblogic服务重启。