本次更新主要新增以下两部分信息:
1.Oracle 官方为 CVE-2020-14882补丁绕过发布解决方案,并分配编号 CVE-2020-14750,详见3.2 官方修复方案。
2.WAF 自定义规则更新,之前已经添加过自定义规则和升级规则包的用户仍建议添加,详见 4.5 WAF自定义规则配置。
Oracle官方为 Weblogic Console CVE-2020-14882发布的补丁并不完善,存在被绕过的情况,且官方暂未发布针对该补丁绕过的解决方案。
在 Weblogic 安装了 10月最新补丁的情况下,攻击者通过绕过CVE-2020-14882的补丁,依然可以绕过 Console 控制台的权限校验,直接访问原本需要登录才能访问的各种资源和接口功能。
建议相关用户在官方解决方案发布前尽快采取防护措施!
Oracle官方CPU链接:https://www.oracle.com/security-alerts/cpuoct2020.html
