点击上方蓝字关注我们!
2022年4月20日,嘉诚安全监测到Oracle官方发布了4月的关键安全补丁集合更新CPU(CriticalPatch Update),修复了多个存在于WebLogic中的漏洞,漏洞编号包括:CVE-2022-23305、CVE-2022-21420、CVE-2022-21441、CVE-2022-23437、CVE-2022-21453、CVE-2021-41184。
Oracle WebLogic Server是一个统一的可扩展平台,专用于开发、部署和运行Java 应用等适用于本地环境和云环境的企业应用。它提供了一种强健、成熟和可扩展的 Java Enterprise Edition (EE) 和 Jakarta EE 实施方式。
鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。
经研判以下漏洞影响较大
1.CVE-2022-23305
Oracle WebLogic Server远程代码执行漏洞:Oracle Fusion Middleware的Oracle WebLogic Server中引用了第三方依赖Apache Log4j,允许未经身份验证的攻击者通过 HTTP 访问服务器,成功利用此漏洞可导致Oracle WebLogic Server 被接管。
2.CVE-2022-21420
Oracle Coherence远程代码执行漏洞:该漏洞允许未经身份验证的攻击者通过 T3 访问服务器来破坏 Oracle Coherence,成功利用此漏洞可接管Oracle Coherence。
3.CVE-2022-21441
Oracle WebLogic Server拒绝服务漏洞:该漏洞允许未经身份验证的攻击者通过 T3/IIOP 访问服务器来攻击 Oracle WebLogic Server,成功利用此漏洞可能会导致Oracle WebLogic Server 挂起或DOS。
4.CVE-2022-23437
Oracle WebLogic Server拒绝服务漏洞:Oracle Fusion Middleware的Oracle WebLogic Server 中引用了第三方工具 Apache Xerces-J,允许未经身份验证的攻击者通过 HTTP 访问来攻击Oracle WebLogic Server,此攻击需要与受害者进行交互,成功利用此漏洞可能会导致Oracle WebLogic Server挂起或DOS。
5.CVE-2022-21453
Oracle WebLogic Server身份验证绕过漏洞:该漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问,成功攻击此漏洞可导致对某些 Oracle WebLogic Server 可访问数据进行未经授权的更新、插入或删除访问,以及对Oracle WebLogic Server 可访问数据的子集进行未经授权的读取访问。
6.CVE-2021-41184
Oracle WebLogic Server身份验证绕过漏洞:该漏洞允许未经身份验证的攻击者通过 HTTP 访问来攻击 Oracle WebLogic Server,此攻击需要与受害者进行交互,此漏洞可能会影响其他产品,成功利用此漏洞可能导致对某些Oracle WebLogic Server 可访问数据的未授权更新、插入或删除。
通用修复建议:
根据影响版本中的信息,厂商已发布补丁修复漏洞,下载链接请参考:
https://www.oracle.com/security-alerts/cpuapr2022.html
1.禁用T3协议:
1)进入WebLogic控制台,在base_domain配置页面中,进入安全选项卡页面,点击筛选器,配置筛选器。
2)在连接筛选器中输入:
weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入7001 deny t3 t3s保存生效。
3)重启Weblogic项目,使配置生效。
2.禁用IIOP协议:
用户可通过关闭IIOP协议阻断针对利用IIOP协议漏洞的攻击,操作如下:
在WebLogic控制台中,选择“服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选。并重启WebLogic项目,使配置生效。
原文始发于微信公众号(嘉诚安全):【漏洞通告】Oracle WebLogic Server多个组件漏洞安全风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论