【安全公告】Oracle WebLogic Server 十月安全更新通告

  • A+
所属分类:安全漏洞

漏洞名称 : Oracle WebLogic Server 十月安全更新

漏洞编号 :

CVE-2021-35617

CVE-2021-35620

CVE-2021-29425

CVE-2021-35552

组件名称 

Oracle WebLogic Server

安全公告链接 

https://www.oracle.com/security-alerts/cpuoct2021.html


漏洞分析


组件介绍

    WebLogic是美国Oracle公司出品的一个Application Server,确切的说是一个基于Java EE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。

    WebLogic将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中,是商业市场上主要的Java(J2EE)应用服务器软件(Application Server)之一,是世界上第一个成功商业化的J2EE应用服务器,具有可扩展性,快速开发,灵活,可靠性等优势。


2 漏洞简介

    2021年10月20日,深信服安全团队监测到一则Oracle官方发布安全补丁的通告,共修复了38个中间件漏洞,其中重点关注的漏洞信息如下表。

序号

漏洞编号

严重

等级

影响版本

1

CVE-2021-35617

严重

Oracle WebLogic 12.1.3.0.0

Oracle WebLogic 12.2.1.3.0

Oracle WebLogic 12.2.1.4.0

Oracle WebLogic 14.1.1.0.0

2

CVE-2021-35620

高危

Oracle WebLogic 10.3.6.0.0

Oracle WebLogic 12.1.3.0.0

Oracle WebLogic 12.2.1.3.0

Oracle WebLogic 12.2.1.4.0

Oracle WebLogic 14.1.1.0.0

3

CVE-2021-29425

中危

Oracle WebLogic 12.2.1.3.0

Oracle WebLogic 12.2.1.4.0

Oracle WebLogic 14.1.1.0.0

4

CVE-2021-35552

中危


3 严重漏洞描述

CVE-2021-35617    

    攻击者可以在未授权的情况下通过IIOP协议对存在漏洞的WebLogic Server组件进行攻击。成功利用该漏洞的攻击者可以接管WebLogic Server。


影响范围


    WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。可能受漏洞影响的资产广泛分布于世界各地,国内省份中受影响资产分布于北京、广东、上海等省市。


解决方案


1 如何检测组件系统版本

    用户可以通过进入WebLogic安装主目录下的OPatch目录,在此处打开命令行,输入.opatch lspatches命令,结果如下:

【安全公告】Oracle WebLogic Server 十月安全更新通告

    如上图试验设备补丁号为31656851。


2 官方修复建议

    当前官方已发布受影响版本的对应补丁,建议受影响的用户及时更新官方的安全补丁。链接如下:

https://www.oracle.com/security-alerts/cpuoct2021.html


打补丁方法:

用户可以使用Opatch进行补丁安装,具体安装步骤如下:

(1)进入OracleMiddlewareOracle_HomeOPatch路径下,运行opatch.bat脚本

【安全公告】Oracle WebLogic Server 十月安全更新通告

(2)运行opatch apply {WebLogic补丁文件夹}命令进行补丁安装,如下图:

【安全公告】Oracle WebLogic Server 十月安全更新通告

(3)再运行opatch lspatches命令,查看补丁号,确认是否成功安装最新补丁。

【安全公告】Oracle WebLogic Server 十月安全更新通告

注:用户需要使用Oracle官方更新的最新补丁,并且结合自己实际使用的WebLogic Server版本号,选择对应的补丁进行安装。


3 临时修复建议

    该临时修复建议存在一定风险,建议用户可根据业务系统特性审慎选择采用临时修复方案:

1.可通过关闭IIOP协议对此漏洞进行临时防御。操作如下:

    在Weblogic控制台中,选择“服务”->“AdminServer”->“协议”,取消“启用IIOP”的勾选。并重启Weblogic项目,使配置生效。

【安全公告】Oracle WebLogic Server 十月安全更新通告

2.对T3服务进行控制

    控制T3服务的方法:

【安全公告】Oracle WebLogic Server 十月安全更新通告

    在上图这个WebLogic界面中选择安全-筛选器,在下方出现的界面中找到“连接筛选器”,在里面输入

security.net.ConnectionFilterImpl

    然后在连接筛选器规则中输入

127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s

    最后保存并重启服务器即可生效。


时间轴


2021/10/20    深信服监测到Oracle官方发布安全补丁。

2021/10/20    深信服千里目安全实验室发布漏洞通告。


参考链接


https://www.oracle.com/security-alerts/cpuoct2021.html



点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。

【安全公告】Oracle WebLogic Server 十月安全更新通告


深信服千里目安全实验室

【安全公告】Oracle WebLogic Server 十月安全更新通告

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

● 扫码关注我们


原文始发于微信公众号(深信服千里目安全实验室):【安全公告】Oracle WebLogic Server 十月安全更新通告

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: