背景介紹：

       WebLogic是美國Oracle公司出品的一個application server，確切的說是一個基于JAVAEE架構(gòu)的中間件，WebLogic是用于開發(fā)、集成、部署和管理大型分布式Web應(yīng)用、網(wǎng)絡(luò)應(yīng)用和數(shù)據(jù)庫應(yīng)用的Java應(yīng)用服務(wù)器。將Java的動態(tài)功能和Java Enterprise標(biāo)準(zhǔn)的安全性引入大型網(wǎng)絡(luò)應(yīng)用的開發(fā)、集成、部署和管理之中。
 

1、漏洞描述：

CVE-2020-2551

該漏洞存在于Weblogic WLS組件IIOP協(xié)議。

互聯(lián)網(wǎng)內(nèi)部對象請求代理協(xié)議（IIOP）是一個實(shí)現(xiàn)互操作性的協(xié)議，它使得由不同語言編寫的分布式程序在因特網(wǎng)中可以實(shí)現(xiàn)彼此的交流溝通。它是行業(yè)戰(zhàn)略性標(biāo)準(zhǔn)，也即公用對象請求代理程序結(jié)構(gòu)（Common Object Request Broker Architecture，CORBA）中至關(guān)重要的一個部分。

CVE-2020-2546

該漏洞存在于Weblogic T3協(xié)議。

T3也稱為豐富套接字，是BEA內(nèi)部協(xié)議，功能豐富，可擴(kuò)展性好。T3是多工雙向和異步協(xié)議，經(jīng)過高度優(yōu)化，只使用一個套接字和一條線程。借助這種方法，基于Java的客戶端可以根據(jù)服務(wù)器方需求使用多種RMI對象，但仍使用一個套接字和一條線程。

WebLogic Server 中的 RMI（遠(yuǎn)程方法調(diào)用） 通信使用 T3 協(xié)議在 WebLogic Server 和其他 Java 程序（包括客戶端及其他 WebLogic Server 實(shí)例）間傳輸數(shù)據(jù)。

2、漏洞編號：

CVE-2020-2551

CVE-2020-2546

3、漏洞等級：高危
 

4、受影響版本

CVE-2020-2551：

10.3.6.0.0

12.1.3.0.0

12.2.1.3.0

12.2.1.4.0

CVE-2020-2546：

10.3.6.0.0

12.1.3.0.0

5、修復(fù)建議：

參考o(jì)racle官網(wǎng)發(fā)布的補(bǔ)丁 https://support.oracle.com/。如果生產(chǎn)環(huán)境中不依靠T3協(xié)議來進(jìn)行通信，建議禁用T3協(xié)議。