安全预警Oracle WebLogic中间件2020年4月官方 最新发布安全漏洞预警(原创)
Posted cnskylee
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了安全预警Oracle WebLogic中间件2020年4月官方 最新发布安全漏洞预警(原创)相关的知识,希望对你有一定的参考价值。
一、安全漏洞说明
Oracle官方于2020年4月14日发布了针对Oracle WebLogic中间件安全漏洞的第二季度累积修复补丁集。其中,针对11g版本weblogic中间件的 Patch ID 为 Q3ZB,针对12c版本则有多个补丁包需要更打,且在更打前还需要更新升级opatch组件到最新版13.9.4.2.2。
本次发布的漏洞清单里面有三个涉及到WebLogic内核组件的T3协议反序列化安全漏洞,分别是CVE-2020-2801 、 CVE-2020-2883、 CVE-2020-2884,风险等级为高,
受影响的主流WebLogic中间件版本包括:Oracle WebLogic 11g 和 Oracle WebLogic 12c,具体版本号如下:
- Oracle WebLogic 10.3.6.0
- Oracle WebLogic 12.1.3.0.0
- Oracle WebLogic 12.2.1.3.0
- Oracle WebLogic 12.2.1.4.0
其中,12.2.1.4.0版本为官方在2019年发布的Oracle WebLogic 12c的最新版本。
二、WebLogic 11g 补丁修复过程
1. 停进程
停服务器上所有启动的 weblogic 应用进程,
2. 备份
对weblogic安装目录,以及应用域进行全量打包备份(日志目录可以可排除)。
3. 修改bsu脚本
Edit the bsu.sh script and change memory options as follows: MEM_ARGS="-Xms4096m -Xmx4096m" |
4. 上传补丁包
在{MW_HOME}/utils/bsu/目录下创建cache_dir目录,将补丁文件上传到该文件夹下,并unzip命令解压。
5. 补丁安装
cd {MW_HOME}/utils/bsu/ ./bsu.sh -install -patch_download_dir={MW_HOME}/utils/bsu/cache_dir -patchlist=Q3ZB -prod_dir={MW_HOME}/wlserver_10.3 |
6. 重启中间件进程,进行核心业务或者全业务测试。
备注:查阅Oracle官方的WebLogic中间件补丁,发现WebLogic 12c的两个最新版本(12.2.1.3.0 、12.2.1.4.0)在升级补丁的之前,需要更新opatch组件到13.9.4.2.2版本,并且各有多个补丁需要更打。
三、附:漏洞信息列表
Oracle官方关于漏洞的说明:https://www.oracle.com/security-alerts/cpuapr2020.html
四、Bugs Fixed By This Patch
WLS Patch Set Update 10.3.6.0.200414
------------------------------------------------------------------------
18509293 CANNOT LOGIN TO CONSOLE, BUT CAN LOGIN TO EM WITH THE SAME USER
20475586 DEADLOCK BETWEEN TAGINFOEX AND TAGFILESYNCHRONIZER
30657848 CVE-2020-2829
30814590 EMBEDDED LDAP CORRUPTED WHEN MGD SERVER IS KILLED
30885217 CVE-2020-2883
30068341 CVE-2020-2766
28482069 CVE-2019-17571
30558254 CVE-2020-2798
30624882 CVE-2020-2811
30563848 CVE-2020-2801
30652002 CVE-2020-2828
30801769 CVE-2020-2869
30885237 CVE-2020-2884
作者:cnskylee@126.com
2020/4/17 于 安徽 合肥
备注:转载请务必说明出处。
以上是关于安全预警Oracle WebLogic中间件2020年4月官方 最新发布安全漏洞预警(原创)的主要内容,如果未能解决你的问题,请参考以下文章
漏洞预警丨Oracle WebLogic XMLDecoder反序列化漏洞