北京市网络和信息安全信息通报中心通报Oracle漏洞情况，请各单位结合自身情况，及时升级相关补丁，更新网络防护策略。通报详情如下：

　　近日Oracle官方发布了2020年4月关键补丁更新公告,其中包括三个针对Weblogic的高危漏洞和一个Oracle Coherence远程代码执行漏洞，攻击者无需经过身份验证，即可获取用户系统权限，进而实施攻击破坏行为。针对此情况，现将漏洞情况、影响范围以及相关提示如下：

　　一、漏洞基本情况

　　WebLogic是一个基于JAVAEE架构的中间件，是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。Oracle Coherence 是一个适用于集群化应用程序和应用服务器的内存中分布式数据网格解决方案。通过使用 Oracle Coherence 快速、可靠地访问经常使用的数据，组织能够以可预测的方式扩展任务关键应用程序。

　　Oracle WebLogic Server的3个高危漏洞，漏洞编码分别为CVE-2020-2801、CVE-2020-2883和CVE-2020-2884。Oracle Coherence的1个高危漏洞，漏洞编码为CVE-2020-2915。四个漏洞均为T3协议存在缺陷，攻击者无需经过身份验证，可直接通过构造T3请求触发漏洞实现远程代码执行，从而达到控制WebLogic Server的目的。

　　二、漏洞影响范围

　　WebLogic受影响版本为：10.3.6.0.0、12.1.3.0.0、12.2.1.3.0和12.2.1.4.0。

　　Coherence受影响版本为：3.7.1.0、12.1.3.0.0、12.2.1.3.0和12.2.1.4.0。

　　需要注意的是，在WebLogic Server 11g Release（10.3.4）及以上版本的安装包中默认集成了Oracle Coherence库。

　　三、网络安全提示

　　鉴于上述漏洞影响范围大，潜在危害程度高，要及时排查信息系统网络安全风险，对于存在安全漏洞的单位要第一时间下载安装Oracle官方的系统补丁，以确保长期有效的防护。如果暂时无法安装更新补丁，可通过控制T3协议的访问来临时阻断针对利用T3协议漏洞的攻击。