安全预警Oracle WebLogic中间件2020年4月官方 最新发布安全漏洞预警（原创）

Posted 2021-02-28 cnskylee

一、安全漏洞说明

Oracle官方于2020年4月14日发布了针对Oracle WebLogic中间件安全漏洞的第二季度累积修复补丁集。其中，针对11g版本weblogic中间件的 Patch ID 为 Q3ZB，针对12c版本则有多个补丁包需要更打，且在更打前还需要更新升级opatch组件到最新版13.9.4.2.2。

本次发布的漏洞清单里面有三个涉及到WebLogic内核组件的T3协议反序列化安全漏洞，分别是CVE-2020-2801 、 CVE-2020-2883、 CVE-2020-2884，风险等级为高，

受影响的主流WebLogic中间件版本包括：Oracle WebLogic 11g 和 Oracle WebLogic 12c，具体版本号如下：

• Oracle WebLogic 10.3.6.0
• Oracle WebLogic 12.1.3.0.0 
• Oracle WebLogic 12.2.1.3.0
• Oracle WebLogic 12.2.1.4.0

其中，12.2.1.4.0版本为官方在2019年发布的Oracle WebLogic 12c的最新版本。

二、WebLogic 11g 补丁修复过程

1. 停进程

停服务器上所有启动的 weblogic 应用进程，

2. 备份

对weblogic安装目录，以及应用域进行全量打包备份（日志目录可以可排除）。

3. 修改bsu脚本 

Edit the bsu.sh script and change memory options as follows: MEM_ARGS="-Xms4096m -Xmx4096m"

 4. 上传补丁包

在{MW_HOME}/utils/bsu/目录下创建cache_dir目录，将补丁文件上传到该文件夹下，并unzip命令解压。

5. 补丁安装 

cd {MW_HOME}/utils/bsu/ ./bsu.sh -install -patch_download_dir={MW_HOME}/utils/bsu/cache_dir -patchlist=Q3ZB -prod_dir={MW_HOME}/wlserver_10.3

6. 重启中间件进程，进行核心业务或者全业务测试。

 备注：查阅Oracle官方的WebLogic中间件补丁，发现WebLogic 12c的两个最新版本（12.2.1.3.0 、12.2.1.4.0）在升级补丁的之前，需要更新opatch组件到13.9.4.2.2版本，并且各有多个补丁需要更打。

三、附：漏洞信息列表

 Oracle官方关于漏洞的说明：https://www.oracle.com/security-alerts/cpuapr2020.html

四、Bugs Fixed By This Patch

WLS Patch Set Update 10.3.6.0.200414
------------------------------------------------------------------------

18509293 CANNOT LOGIN TO CONSOLE, BUT CAN LOGIN TO EM WITH THE SAME USER
20475586 DEADLOCK BETWEEN TAGINFOEX AND TAGFILESYNCHRONIZER
30657848 CVE-2020-2829
30814590 EMBEDDED LDAP CORRUPTED WHEN MGD SERVER IS KILLED
30885217 CVE-2020-2883
30068341 CVE-2020-2766
28482069 CVE-2019-17571
30558254 CVE-2020-2798
30624882 CVE-2020-2811
30563848 CVE-2020-2801
30652002 CVE-2020-2828
30801769 CVE-2020-2869
30885237 CVE-2020-2884

作者：cnskylee@126.com

2020/4/17 于 安徽 合肥

备注：转载请务必说明出处。