近日,安全中心监测到 Oracle 近日发布了2019年4月安全更新公告,此次更新修复了包括Java SE、MySQL及WebLogic在内的多个组件的安全漏洞

       为避免您的业务受影响,安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

【漏洞详情】

   Oracle近日发布了4月安全漏洞公告,此次更新修复了包括Java SE、MySQL及WebLogic等在内的多个组件的安全漏洞,其中:

  • Java SE:此次共披露 Java SE 5 个安全漏洞,可无需用户交互直接远程利用,对于已经购买Oracle产品的用户如果产品使用到Java SE可以直接使用授权license 进行更新,未购买的用户则无法获取更新,如果想继续使用,用户可在jdk.java.net上下载 Oracle OpenJDK 进行替代。
CVE 影响组件 组件名称 CVSS 受影响版本
CVE-2019-2699 Java SE Windows DLL 9.0 Java SE: 8u202
CVE-2019-2697 Java SE 2D 8.1 Java SE: 7u211, 8u202
CVE-2019-2698 Java SE 2D 8.1 Java SE: 7u211, 8u202
CVE-2019-2602 Java SE, Java SE Embedded Libraries 7.5 Java SE: 7u211, 8u202, 11.0.2, 12; Java SE Embedded: 8u201
CVE-2019-2684 Java SE, Java SE Embedded RMI 5.9 Java SE: 7u211, 8u202, 11.0.2, 12; Java SE Embedded: 8u201
  • WebLogic: 共发布了53个漏洞,其中风险相对较高漏洞 8个,主要影响WLS Core、EJB Container 及 Web Services 组件,其中须重点关注漏洞如下:
CVE 影响组件 组件名称 CVSS 受影响版本
CVE-2019-2658 Oracle WebLogic Server WLS Core Components 9.8 10.3.6.0.0, 12.1.3.0.0
CVE-2019-2646 Oracle WebLogic Server EJB Container 9.8 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0
CVE-2019-2645 Oracle WebLogic Server WLS Core Components 9.8 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0
CVE-2018-1258 Oracle WebLogic Server WLS Core Components (Spring Framework) 8.8 12.2.1.3.0
CVE-2019-2647 Oracle WebLogic Server WLS – Web Services 7.5 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0
CVE-2019-2648 Oracle WebLogic Server WLS – Web Services 7.5 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0
CVE-2019-2649 Oracle WebLogic Server WLS – Web Services 7.5 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0
CVE-2019-2650 Oracle WebLogic Server WLS – Web Services 7.5 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0
  •  MySQL 方面:共发布了 45 个漏洞,其中 4 个漏洞可无需认证直接远程利用,漏洞最高CVSS评分仅 7.5 分,其中须重点关注漏洞如下:
CVE 影响组件 组件名称 CVSS 受影响版本
CVE-2019-2632 MySQL Server Server : Pluggable Auth 7.5 5.7.25 and prior, 8.0.15 and prior
CVE-2019-2693 MySQL Server Server: Optimizer 6.5 8.0.15 and prior
CVE-2019-2694 MySQL Server Server: Optimizer 6.5 8.0.15 and prior
CVE-2019-2695 MySQL Server Server: Optimizer 6.5 8.0.15 and prior

【风险等级】

   高风险

【影响版本】

   详见上表

【修复建议】

   目前 Oracle官方已经发布补丁更新,建议您及时应用相关补丁更新。由于Oracle产品更新策略,Oracle官方补丁需要用户持有正版软件的许可账号进行下载安装,需账号登陆 https://support.oracle.com 下载最新补丁。

    针对不同类型用户,腾讯云安全有如下建议:
   【已购买Oracle产品的用户】
1)您可以直接登入Oracle官网下载相应的Java SE、Weblogic及MySQL更新包,进行补丁安装

    2)做好安全加固工作,检查是否管理后台暴露到公网、是否存在弱口令问题;

   【个人用户或开发者 & 免费使用的组织】

    1)开展安全自查及加固,如:

1.1)检查Weblogic管理后台是否进行了访问控制(限制访问源),是否存在弱口令;

1.2)可关闭受影响的协议进行缓解, WebLogic Server 提供了名为 weblogic.security.net.ConnectionFilterImpl 的默认连接筛选器,用户可通过控制T3协议的访问来临时阻断针对 CVE-2019-2645 及 CVE-2019-2646 漏洞的攻击,具体操作方法如下:

             Step1:打开Weblogic控制台,进入base_domain配置页面,找到右侧“安全”下方的“筛选器”页面,进入连接筛选器配置界面;

             Step2:在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则中输入:127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s(T3 和 T3S 协议的所有端口只允许本地访问);

             Step3:保存后规则即可生效.

    2)升级到新版本 JDK(如JDK 9),比较适合新的开发项目;

3)用户可考虑选择第三方发布的免费 openJDK 版本,在jdk.java.net上可进行下载;

4)如果经济允许,可考虑购买Oracle 商用许可证 ,可继续使用 Oracle JDK 后续更新

【漏洞参考】

  1)官方通告:https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html