99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源

漏洞描述

Weblogic是Oracle出品的用于構(gòu)建和部署企業(yè)Java EE應用程序的中間件，被企業(yè)用戶廣泛應用于生產(chǎn)環(huán)境中。

T3是用于在WebLogic服務器和其他類型的Java程序之間傳輸信息的協(xié)議。

漏洞編號

CVE-2020-2546

漏洞危害

攻擊者能夠利用Weblogic T3協(xié)議進行反序列化漏洞的利用從而造成遠程代碼執(zhí)行，危害面/影響面大。

漏洞等級

高危
受影響版本

Oracle WebLogic Server

10.3.6.0.0

12.1.3.0.0

修復方案

1. 使用 Oracle 官方安全補丁進行更新修復；

Oracle Critical Patch Update Advisory – January 2020

2. 如果不依賴T3協(xié)議進行JVM通信，用戶可通過控制T3協(xié)議的訪問來臨時阻斷針對該漏洞的攻擊。

Weblogic Server 提供了名為weblogic.security.net.ConnectionFilterImpl 的默認連接篩選器，此連接篩選器接受所有傳入連接，可通過此連接篩選器配置規(guī)則，對t3及t3s協(xié)議進行訪問控制，詳細操作步驟如下：

• 進入Weblogic控制臺，在base_domain的配置頁面中，進入“安全”選項卡頁面，點擊“篩選器”，進入連接篩選器配置；
• 在連接篩選器中輸入：security.net.ConnectionFilterImpl，在連接篩選器規(guī)則中配置符合實際情況的規(guī)則；
• 保存后若規(guī)則未生效，建議重新啟動Weblogic服務（重啟Weblogic服務會導致業(yè)務中斷，建議相關(guān)人員評估風險后，再進行操作）。