近日,国家信息安全漏洞库(cnnvd)收到关于o w t3协议安全漏洞(cnnvd-202001-667、cve-2020-2546)和o w wls组件iiop协议安全漏洞(cnnvd-202001-675、cve-2020-2551) 情况的报送。攻击者可利用漏洞在未授权的情况下发送攻击数据,实现远程代码执行,最终控制wl服务器。o wl s 10.3.6.0、12.1.3.0、12.2.1.3、12.2.1.4等版本均受漏洞影响。目前,o官方已经发布补丁修复了漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。加密软件
一、漏洞介绍
o wl s是美国甲骨文(o)开发的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。t3协议是用于在wl服务器和其他类型的j程序之间传输信息的协议。iiop协议是一个用于corba 2.0及兼容平台,用来在corba对象请求代理之间交流的协议。
(1)owl t3协议安全漏洞(cnnvd-202001-667、cve-2020-2546)
攻击者可以通过t3协议对存在漏洞的wl s进行反序列化攻击,成功利用该漏洞的攻击者可以对目标系统实现远程代码执行,进而控制wl服务器。
(2)owl wls组件iiop协议安全漏洞(cnnvd-202001-675、cve-2020-2551)
攻击者可以在未授权的情况下通过iiop协议对存在漏洞的wl s组件进行反序列化攻击,成功利用该漏洞的攻击者可以对目标系统实现远程代码执行,进而控制wl服务器。
二、危害影响
(1)o wl t3协议安全漏洞(cnnvd-202001-667、cve-2020-2546)
成功利用该漏洞的攻击者可以对目标系统实现远程代码执行,进而控制wl服务器。该漏洞涉及了多个版本,具体受影响版本如下:
o wl s 10.3.6.0
o wl s 12.1.3.0
(2)o wl wls组件iiop协议安全漏洞(cnnvd-202001-675、cve-2020-2551)
成功利用该漏洞的攻击者可以对目标系统实现远程代码执行,进而控制wl服务器。该漏洞涉及了多个版本,具体受影响版本如下:
o wl s 10.3.6.0
o wl s 12.1.3.0
o wl s 12.2.1.3
o wl s 12.2.1.4
三、修复建议
目前, o官方已经发布补丁修复了漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。o官方更新链接如下:
..-2020.
本通报由cnnvd技术支撑单位——奇安信科技集团股份有限提供支持。
cnnvd将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与cnnvd联系。
: @..