상세 컨텐츠
본문
개요
해당 취약점을 악용하면 Oracle Coherence중 인증되지 않은 공격자가 조작한 T3 프로토콜 request를 허용하여 역직렬화 원격코드실행 취약점을 발생시킨다.
오라클 웹로직 서버(Oracle WebLogic Server): 오라클이 개발한 자바 EE 웹 애플리케이션 서버입니다.
오라클 코히어런스(Oracle Coherence) : 자바 기반의 데이터 그리드 제품으로서, 데이터 캐싱, 데이터 복제, 분산 컴퓨팅 서비스를 제공합니다.
코히어런스는 backing map을 사용하여 데이터베이스 이외의 스토리지에서도 안정적인 서비스를 제공할 수 있게 합니다.
자바로 구현되어 있지만, 코히어런스*엑스텐드 콤포넌트를 통해서 .NET이나 C++과의 접속도 가능합니다.
코히어런스 사용 패턴 중 일부는 오픈 소스이며, 오라클 코히어런스 인큐베이터를 통해 게재 및 지원되고 있으며, 이러한 패턴에는 코히어런스로 WAN를 걸친 메시지 송수신, 작업 분산, 데이터 복제 기능 등이 있습니다.
코히어런스 제품은 본래 탱고솔(Tangosol)사가 개발하였는데, 2007년 4월에 오라클이 그 회사를 매입하였다. 현재는 오라클 퓨전 미들웨어의 컴포넌트 중 하나로 제공되고 있습니다.
출처 : 위키피디아
영향받는버전
Oracle Coherence 3.7.1.17
Oracle Coherence 12.1.3.0.0
Oracle Coherence 12.2.1.3.0
Oracle Coherence 12.2.1.4.0
패치방법
1. 최신버전으로 업데이트
2. 임시방안
Weblogic의 T3 프로토콜 차단
출처 :
'국내외 보안동향' 카테고리의 다른 글
| 데비안(Debian) 리눅스, 지난 20년 동안 가장 많은 취약점이 발견된 운영체제 (0) | 2020.03.10 |
|---|---|
| Ryuk 랜섬웨어, 노스 캐롤라이나 주 더럼시 공격해 (0) | 2020.03.10 |
| TrickBot, 가짜 WHO 코로나바이러스 이메일 미끼로 사용 (0) | 2020.03.09 |
| 리눅스 배포판 대부분에 PPP 대몬의 치명적인 원격 코드 실행 취약점(CVE-2020-8597) 존재해 (0) | 2020.03.09 |
| 시스코, Webex 플레이어의 심각도 높은 원격 코드 실행 취약점 수정 (0) | 2020.03.06 |
댓글 영역