报告编号：B6-2020-011502

报告来源：360-CERT

报告作者：360-CERT

更新日期：2020-01-15

0x00 漏洞背景

2020年1月15日，360CERT监测到oracle官方发布了CVE-2020-2551漏洞通告，漏洞等级为高危。

Weblogic是Oracle出品的用于构建和部署企业Java EE应用程序的中间件，被企业用户广泛应用于生产环境中。

Internet Inter-ORB Protocol(互联网内部对象请求代理协议)，它是一个用于CORBA 2.0及兼容平台上的协议。 用来在CORBA对象请求代理之间交流的协议

360CERT判断漏洞等级为高危，危害面/影响面大。建议使用Weblogic的用户关闭或禁用协议，以免遭受恶意攻击。

0x01 漏洞详情

攻击者能够利用Weblogic IIOP协议远程访问Weblogic Server服务器上的远程接口，传入恶意数据，从而获取服务器权限并在未授权情况下造成任意代码执行，危害面/影响面大

0x02 影响版本

Oracle WebLogic Server

• 10.3.6.0.0
• 12.1.3.0.0
• 12.2.1.3.0
• 12.2.1.4.0

0x03 修复建议

升级补丁，参考oracle官网发布的补丁 如果不依赖IIOP协议进行JVM通信，禁用IIOP协议。

进入WebLogic控制台，在base_domain配置页面中，进入安全选项卡页面，选择“服务”->”AdminServer”->”协议”，取消“启用IIOP”的勾选。并重启Weblogic项目，使配置生效。

0x04 时间线

2020-01-15 oracle官网发布通告

2020-01-15 360CERT发出漏洞通告

0x05 参考链接

1. Oracle Critical Patch Update Advisory - January 2020