发布日期：2020-01-15
更新日期：2020-03-09

受影响系统：

Oracle Coherence 12.2.1.4.0
Oracle Coherence 12.2.1.3.0
Oracle Coherence 12.1.3.0.0

描述：

---

CVE(CAN) ID: CVE-2020-2555

Oracle Fusion Middleware（Oracle融合中间件）是一套面向企业和云环境的业务创新平台。Coherence是Oracle建立一种高可靠和高扩展集群计算的一个关键部件，Coherence在可靠的、高度可伸缩的对等集群协议之上提供了复制的、分布式的（分区的）数据管理和缓存服务。

Oracle Fusion Middleware的Coherence产品在Caching,CacheStore,Invocation组件的实现中存在安全漏洞，未经身份认证的远程攻击者经默认启用的"T3协议"，通过远程执行命令利用此漏洞接管Coherence，影响组件的机密性、完整性、可用性。此漏洞无需管理员身份认证及额外交互。使用了Oracle Coherence库的产品受此漏洞影响，在WebLogic Server 11g Release（10.3.4）及以上版本的安装包中默认集成了Oracle Coherence库。

<*来源：Jang
  
  链接：https://www.oracle.com/security-alerts/cpujan2020.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

*可通过临时禁用T3协议连接对此漏洞进行缓解。操作如下：
进入WebLogic控制台，在base_domain配置页面中，
进入“安全选项卡”->“筛选器”->“配置筛选器”。
在连接筛选器中输入：weblogic.security.net.ConnectionFilterImpl，
在连接筛选器规则框中输入 “7001 deny t3 t3s”
并重启 Weblogic 项目，使配置生效。

厂商补丁：

Oracle
------
建议用户及时关注官方通告。公告链接：https://www.oracle.com/security-alerts/cpujan2020.html

注：Oracle官方补丁需要用户持有正版软件的许可账号，使用该账号登陆 https://support.oracle.com 后，可以下载最新补丁。

浏览次数：2117
严重程度：0（网友投票）