当地时间4月14日,Oracle发布2020年4月关键补丁更新(Critical Patch Update,简称CPU),其中包括一个针对Oracle Coherence ,评分为 9.8的严重漏洞(CVE-2020-2915)。
漏洞允许未经身份验证的攻击者通过T3协议网络访问并破坏易受攻击的Oracle Coherence,成功的漏洞利用可导致Oracle Coherence被攻击者接管,从而造成远程代码执行。
使用了Oracle Coherence库的产品受此漏洞影响,在WebLogic Server 11g Release(10.3.4)及以上版本的安装包中默认集成了Oracle Coherence库。
参考链接:
https://www.oracle.com/security-alerts/cpuapr2020.html
受影响产品版本
- Oracle Coherence 3.7.1.0
- Oracle Coherence 12.1.3.0.0
- Oracle Coherence 12.2.1.3.0
- Oracle Coherence 12.2.1.4.0
解决方案
Oracle已经发布补丁修复了上述漏洞,请用户参考官方通告及时下载受影响产品更新补丁,并参照补丁安装包中的readme文件进行安装更新,以保证长期有效的防护。
注:Oracle官方补丁需要用户持有正版软件的许可账号,使用该账号登陆https://support.oracle.com后,可以下载最新补丁。
缓解措施:
若用户暂时不能安装最新补丁,可通过禁用T3协议,对漏洞进行临时缓解。
官方通告: