一、概要

近日，華為云監(jiān)測到Oracle官方發(fā)布季度安全公告，披露了多款旗下產(chǎn)品的安全漏洞，其中包括多個Weblogic高危漏洞（CVE-2020-9546、CVE-2018-11058、CVE-2020-14625、CVE-2020-14644、CVE-2020-14645、CVE-2020-14687、CVE-2017-5645、CVE-2020-14588），其中 CVE-2020-14625、CVE-2020-14644、CVE-2020-14645、CVE-2020-14687 漏洞和T3、IIOP協(xié)議有關(guān)。攻擊者利用相關(guān)漏洞可以遠(yuǎn)程獲取Weblogic服務(wù)器權(quán)限，風(fēng)險性高。

華為云提醒使用Weblogic及Oracle相關(guān)產(chǎn)品的用戶及時安排自檢并做好安全加固。

參考鏈接：

https://www.oracle.com/security-alerts/cpujul2020.html

本次Oracle季度安全更新共涉及443個安全漏洞補(bǔ)丁，除Oracle Weblogic外，還包括Oracle Coherence、Oracle BI Publisher、Oracle Endeca Information Discovery Studio、Oracle Business Intelligence Enterprise Edition等產(chǎn)品，具體漏洞信息請參考上述官方鏈接。

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急）

三、漏洞說明

四、漏洞影響范圍

產(chǎn)品：

Oracle WebLogic Server 10.3.6.0.0

Oracle WebLogic Server 12.1.3.0.0

Oracle WebLogic Server 12.2.1.3.0

Oracle WebLogic Server 12.2.1.4.0

Oracle WebLogic Server 14.1.1.0.0

組件：

Centralized Thirdparty Jars (jackson-databind)

Security Service (RSA BSAFE)

Core

Centralized Thirdparty Jars (Log4j)

Console (Log4j)

Web Container

五、漏洞處置

官方已發(fā)布補(bǔ)丁修復(fù)程序，需用戶持有正版軟件的許可賬號，登陸https://support.oracle.com  后，下載最新補(bǔ)丁。

注：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。