【清静通告】WebLogic多个高危误差通告

2021-07-22

一. 误差概述

7月21日，九游老哥科技CERT监测到Oracle官方宣布了2021年7月要害补丁更新通告CPU（Critical Patch Update），共修复了342个差别水平的误差，其中包括3个影响WebLogic的严重误差，使用重漂后低，建议用户尽快接纳步伐，对此次的误差举行防护。

CVE-2021-2382/CVE-2021-2394/CVE-2021-2397：未经身份验证的攻击者发送恶意结构的T3或IIOP协议请求，可在目的服务器上执行恣意代码，CVSS评分为9.8

CVE-2021-2376/CVE-2021-2378：未经身份验证的攻击者通过T3或IIOP协议发送恶意请求，可造成目的服务器挂起或瓦解，CVSS评分为7.5

CVE-2015-0254：此误差保存于Apache Standard Taglibs中，当应用程序使用 <x:parse> 或 <x:transform> 标签处置惩罚不受信托的XML文档时，1.2.3版本之前的 Apache Standard Taglibs允许远程攻击者使用XSLT 扩展执行恣意代码或举行XML外部实体注入(XXE) 攻击，CVSS评分为7.3

CVE-2021-2403：未经身份验证的攻击者可以通过HTTP发送恶意请求，未授权会见目的服务器的某些数据，CVSS评分为5.3

参考链接：

https://www.oracle.com/security-alerts/cpujul2021.html#AppendixFMW

二. 影响规模

受影响版本

WebLogic Server 10.3.6.0.0

WebLogic Server 12.1.3.0.0

WebLogic Server 12.2.1.3.0

WebLogic Server 12.2.1.4.0

WebLogic Server 14.1.1.0.0

三. 误差检测

3.1 外地检测

可使用如下下令对WebLogic版本和补丁装置的情形举行排查。

$ cd /Oracle/Middleware/wlserver_10.3/server/lib

$ java -cp weblogic.jar weblogic.version

在显示效果中，若是没有补丁装置的信息，则说明保存危害，如下图所示：

3.2 T3协议探测

Nmap工具提供了WebLogic T3协议的扫描剧本，可探测开启T3服务的WebLogic主机。下令如下：

nmap -n -v -Pn –sV [主机或网段地点] –p（默认）7001,7002 --script=weblogic-t3-info.nse

如下图红框所示，目的开启了T3协议且WebLogic版本在受影响规模之内，若是相关职员没有装置官方的清静补丁，则保存误差危害。

四. 误差防护

4.1 补丁更新

现在Oracle已宣布补丁修复了上述误差，请用户参考官方通告实时下载受影响产品更新补丁，并参照补丁装置包中的readme文件举行装置更新，以包管恒久有用的防护。

注：Oracle官方补丁需要用户持有正版软件的允许账号，使用该账号上岸https://support.oracle.com后，可以下载最新补丁。

4.2 暂时防护步伐

若是用户暂时无法装置更新补丁，可通过下列步伐对高危误差举行暂时防护：

4.2.1 限制T3协议会见

用户可通过控制T3协议的会见来暂时阻断针对使用T3协议误差的攻击。WebLogic Server提供了名为 weblogic.security.net.ConnectionFilterImpl 的默认毗连筛选器，此毗连筛选器接受所有传入毗连，可通过此毗连筛选器设置规则，对T3及T3s协议举行会见控制，详细操作办法如下：

1. 进入WebLogic控制台，在base_domain的设置页面中，进入“清静”选项卡页面，点击“筛选器”，进入毗连筛选器设置。

2. 在毗连筛选器中输入：weblogic.security.net.ConnectionFilterImpl，参考以下写法，在毗连筛选器规则中设置切合企业现真相形的规则：

127.0.0.1 * * allow t3 t3s

本机IP ** allow t3 t3s

允许会见的IP * * allow t3 t3s

* * * deny t3 t3s

毗连筛选器规则名堂如下：target localAddress localPort action protocols，其中：

· target 指定一个或多个要筛选的服务器。

· localAddress 可界说服务器的主机地点。(若是指定为一个星号 (*)，则返回的匹配效果将是所有外地 IP 地点。)

· localPort 界说服务器正在监听的端口。(若是指定了星号，则匹配返回的效果将是服务器上所有可用的端口)。

· action 指定要执行的操作。(值必需为“allow”或“deny”。)

· protocols 是要举行匹配的协议名列表。(必需指定下列其中一个协议：http、https、t3、t3s、giop、giops、dcom 或 ftp。) 若是未界说协议，则所有协议都将与一个规则匹配。

3. 生涯后若规则未生效，建议重新启动WebLogic服务（重启WebLogic服务会导致营业中止，建议相关职员评估危害后，再举行操作）。以Windows情形为例，重启服务的办法如下：

进入域所在目录下的bin目录，在Windows系统中运行stopWebLogic.cmd文件终止WebLogic服务，Linux系统中则运行stopWebLogic.sh文件。

待终止剧本执行完成后，再运行startWebLogic.cmd或startWebLogic.sh文件启动WebLogic，即可完成WebLogic服务重启。

4.2.2 禁用IIOP协议

用户可通过关闭IIOP协议阻断针对使用IIOP协议误差的攻击，操作如下：

在WebLogic控制台中，选择“服务”->“AdminServer”->“协议”，作废“启用IIOP”的勾选。并重启WebLogic项目，使设置生效。

声明

本清静通告仅用来形貌可能保存的清静问题，九游老哥科技不为此清静通告提供任何包管或允许。由于撒播、使用此清静通告所提供的信息而造成的任何直接或者间接的效果及损失，均由使用者自己认真，九游老哥科技以及清静通告作者不为此肩负任何责任。

<<上一篇

【清静通告】Oracle全系产品7月要害补丁更新通告

>>下一篇

【清静通告】Linux内核权限提升误差（CVE-2021-33909）通告

您的联系方法

购置热线

提交项目需求

接待加入九游老哥科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

服务支持

智能客服

购置/售后手艺问题

点击咨询

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

400-818-6868

审查所有

九游老哥科技社区

资料下载|在线问答|手艺交流

点击进入

九游老哥

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

数据清静

数据清静产品

解决计划

云盘算清静

云盘算清静产品

解决计划

AI清静

AI清静产品

解决计划

工业互联网清静

工业互联网清静产品

解决计划

物联网清静

物联网清静产品

解决计划

信息手艺应用立异

信创类清静产品

所有产品审查更多 >

所有解决计划审查更多 >

政府审查更多 >

解决计划

运营商审查更多 >

解决计划

金融审查更多 >

解决计划

能源审查更多 >

解决计划

交通审查更多 >

解决计划

企业审查更多 >

解决计划

科教文卫审查更多 >

解决计划

【清静通告】WebLogic多个高危误差通告

您的联系方法

购置热线

购置咨询:

提交项目需求

接待加入九游老哥科技 ，成为我们的相助同伴！

您的联系方法

服务支持

接待加入九游老哥科技，成为我们的相助同伴！