【漏洞通告】Oracle WebLogic Server多个组件漏洞安全风险通告

admin 2022年4月22日00:47:43评论78 views字数 1815阅读6分3秒阅读模式
【漏洞通告】Oracle WebLogic Server多个组件漏洞安全风险通告

点击上方蓝字关注我们!


漏洞背景


2022年4月20日,嘉诚安全监测到Oracle官方发布了4月的关键安全补丁集合更新CPU(CriticalPatch Update),修复了多个存在于WebLogic中的漏洞,漏洞编号包括:CVE-2022-23305、CVE-2022-21420、CVE-2022-21441、CVE-2022-23437、CVE-2022-21453、CVE-2021-41184。


Oracle WebLogic Server是一个统一的可扩展平台,专用于开发、部署和运行Java 应用等适用于本地环境和云环境的企业应用。它提供了一种强健、成熟和可扩展的 Java Enterprise Edition (EE) 和 Jakarta EE 实施方式。


鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。

漏洞详情


经研判以下漏洞影响较大


1.CVE-2022-23305

Oracle WebLogic Server远程代码执行漏洞:Oracle Fusion Middleware的Oracle WebLogic  Server中引用了第三方依赖Apache Log4j,允许未经身份验证的攻击者通过 HTTP 访问服务器,成功利用此漏洞可导致Oracle WebLogic Server 被接管。


2.CVE-2022-21420

Oracle Coherence远程代码执行漏洞:该漏洞允许未经身份验证的攻击者通过 T3 访问服务器来破坏 Oracle Coherence,成功利用此漏洞可接管Oracle Coherence。


3.CVE-2022-21441

Oracle WebLogic Server拒绝服务漏洞:该漏洞允许未经身份验证的攻击者通过 T3/IIOP 访问服务器来攻击 Oracle WebLogic Server,成功利用此漏洞可能会导致Oracle WebLogic Server 挂起或DOS。


4.CVE-2022-23437

Oracle WebLogic Server拒绝服务漏洞:Oracle Fusion Middleware的Oracle WebLogic Server 中引用了第三方工具 Apache Xerces-J,允许未经身份验证的攻击者通过 HTTP 访问来攻击Oracle WebLogic Server,此攻击需要与受害者进行交互,成功利用此漏洞可能会导致Oracle WebLogic Server挂起或DOS。


5.CVE-2022-21453

Oracle WebLogic Server身份验证绕过漏洞:该漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问,成功攻击此漏洞可导致对某些 Oracle WebLogic Server 可访问数据进行未经授权的更新、插入或删除访问,以及对Oracle WebLogic Server 可访问数据的子集进行未经授权的读取访问。


6.CVE-2021-41184

Oracle WebLogic Server身份验证绕过漏洞:该漏洞允许未经身份验证的攻击者通过 HTTP 访问来攻击 Oracle WebLogic Server,此攻击需要与受害者进行交互,此漏洞可能会影响其他产品,成功利用此漏洞可能导致对某些Oracle WebLogic Server 可访问数据的未授权更新、插入或删除。


危害影响


【漏洞通告】Oracle WebLogic Server多个组件漏洞安全风险通告


修复建议


通用修复建议:

根据影响版本中的信息,厂商已发布补丁修复漏洞,下载链接请参考:

https://www.oracle.com/security-alerts/cpuapr2022.html


若非必须开启,请禁用T3和IIOP协议

1.禁用T3协议:

 1)进入WebLogic控制台,在base_domain配置页面中,进入安全选项卡页面,点击筛选器,配置筛选器。

 2)在连接筛选器中输入:

weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入7001 deny t3 t3s保存生效。

 3)重启Weblogic项目,使配置生效。


2.禁用IIOP协议:

用户可通过关闭IIOP协议阻断针对利用IIOP协议漏洞的攻击,操作如下:

在WebLogic控制台中,选择“服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选。并重启WebLogic项目,使配置生效。

【漏洞通告】Oracle WebLogic Server多个组件漏洞安全风险通告【漏洞通告】Oracle WebLogic Server多个组件漏洞安全风险通告


原文始发于微信公众号(嘉诚安全):【漏洞通告】Oracle WebLogic Server多个组件漏洞安全风险通告

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月22日00:47:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞通告】Oracle WebLogic Server多个组件漏洞安全风险通告http://cn-sec.com/archives/930642.html

发表评论

匿名网友 填写信息