【安全预警】Oracle WebLogic中间件2020年4月官方 最新发布安全漏洞预警(原创)

一、安全漏洞说明

Oracle官方于2020年4月14日发布了针对Oracle WebLogic中间件安全漏洞的第二季度累积修复补丁集。其中,针对11g版本weblogic中间件的 Patch ID 为 Q3ZB,针对12c版本则有多个补丁包需要更打,且在更打前还需要更新升级opatch组件到最新版13.9.4.2.2。

本次发布的漏洞清单里面有三个涉及到WebLogic内核组件的T3协议反序列化安全漏洞,分别是CVE-2020-2801 、 CVE-2020-2883、 CVE-2020-2884风险等级为高

受影响的主流WebLogic中间件版本包括:Oracle WebLogic 11g 和 Oracle WebLogic 12c,具体版本号如下:

  • Oracle WebLogic 10.3.6.0
  • Oracle WebLogic 12.1.3.0.0 
  • Oracle WebLogic 12.2.1.3.0
  • Oracle WebLogic 12.2.1.4.0

其中,12.2.1.4.0版本为官方在2019年发布的Oracle WebLogic 12c的最新版本。

二、WebLogic 11g 补丁修复过程

1. 停进程

停服务器上所有启动的 weblogic 应用进程,

2. 备份

对weblogic安装目录,以及应用域进行全量打包备份(日志目录可以可排除)。

3. 修改bsu脚本 

Edit the bsu.sh script and change memory options as follows:

MEM_ARGS="-Xms4096m -Xmx4096m"

 4. 上传补丁包

在{MW_HOME}/utils/bsu/目录下创建cache_dir目录,将补丁文件上传到该文件夹下,并unzip命令解压。

5. 补丁安装 

cd {MW_HOME}/utils/bsu/

./bsu.sh -install -patch_download_dir={MW_HOME}/utils/bsu/cache_dir -patchlist=Q3ZB -prod_dir={MW_HOME}/wlserver_10.3

6. 重启中间件进程,进行核心业务或者全业务测试。

 备注:查阅Oracle官方的WebLogic中间件补丁,发现WebLogic 12c的两个最新版本(12.2.1.3.0 、12.2.1.4.0)在升级补丁的之前,需要更新opatch组件到13.9.4.2.2版本,并且各有多个补丁需要更打。

三、附:漏洞信息列表

【安全预警】Oracle WebLogic中间件2020年4月官方 最新发布安全漏洞预警(原创)

 Oracle官方关于漏洞的说明:https://www.oracle.com/security-alerts/cpuapr2020.html

四、Bugs Fixed By This Patch

WLS Patch Set Update 10.3.6.0.200414
------------------------------------------------------------------------

18509293 CANNOT LOGIN TO CONSOLE, BUT CAN LOGIN TO EM WITH THE SAME USER
20475586 DEADLOCK BETWEEN TAGINFOEX AND TAGFILESYNCHRONIZER
30657848 CVE-2020-2829
30814590 EMBEDDED LDAP CORRUPTED WHEN MGD SERVER IS KILLED
30885217 CVE-2020-2883
30068341 CVE-2020-2766
28482069 CVE-2019-17571
30558254 CVE-2020-2798
30624882 CVE-2020-2811
30563848 CVE-2020-2801
30652002 CVE-2020-2828
30801769 CVE-2020-2869
30885237 CVE-2020-2884

作者:

2020/4/17 于 安徽 合肥

备注:转载请务必说明出处。