「漏洞通告」Oracle Coherence远程代码执行漏洞(CVE-2020-2915)

当地时间4月14日,Oracle发布2020年4月关键补丁更新(Critical Patch Update,简称CPU),其中包括一个针对Oracle Coherence ,评分为 9.8的严重漏洞(CVE-2020-2915)。

漏洞允许未经身份验证的攻击者通过T3协议网络访问并破坏易受攻击的Oracle Coherence,成功的漏洞利用可导致Oracle Coherence被攻击者接管,从而造成远程代码执行。

使用了Oracle Coherence库的产品受此漏洞影响,在WebLogic Server 11g Release(10.3.4)及以上版本的安装包中默认集成了Oracle Coherence库。

参考链接:

https://www.oracle.com/security-alerts/cpuapr2020.html

受影响产品版本

  • Oracle Coherence 3.7.1.0
  • Oracle Coherence 12.1.3.0.0
  • Oracle Coherence 12.2.1.3.0
  • Oracle Coherence 12.2.1.4.0

解决方案

Oracle已经发布补丁修复了上述漏洞,请用户参考官方通告及时下载受影响产品更新补丁,并参照补丁安装包中的readme文件进行安装更新,以保证长期有效的防护。

注:Oracle官方补丁需要用户持有正版软件的许可账号,使用该账号登陆https://support.oracle.com后,可以下载最新补丁。

缓解措施:

若用户暂时不能安装最新补丁,可通过禁用T3协议,对漏洞进行临时缓解。

官方通告:

https://www.oracle.com/security-alerts/cpuapr2020.html

Spread the word. Share this post!

Meet The Author

Leave Comment