威尼斯432888cam(中国集团)有限公司-企业百科


打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 安全通告

安全通告

高危!Oracle WebLogic多个组件漏洞安全风险通告
发布时间 :2021年10月20日
分享:

漏洞描述


2021年10月20日,威尼斯432888camCERT监控到Oracle官方发布了安全更新,修复了CVE-2021-35552、CVE-2021-35617、CVE-2021-35620等在内的多个存在于Oracle WebLogic中的漏洞。经威尼斯432888camCERT技术研判后判定Oracle WebLogic Server远程代码执行漏洞(CVE-2021-35617)影响较为严重。


Oracle WebLogic是美国Oracle公司基于JavaEE架构开发的中间件。其主要是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。


威尼斯432888camCERT建议使用Oracle WebLogic的客户尽快自查所使用版本并修复漏洞。


漏洞编号及定级


  • 高危 Oracle WebLogic Server拒绝服务漏洞(CVE-2021-35620)

  • 严重 Oracle WebLogic Server远程代码执行漏洞(CVE-2021-35617)

  • 中危 Oracle WebLogic Server诊断组件不正确的输入验证漏洞(CVE-2021-35552)


漏洞状态

 

微信图片_20211115205306.jpg


受影响的版本


  • Oracle WebLogic Server 10.3.6.0.0

  • Oracle WebLogic Server 12.1.3.0.0

  • Oracle WebLogic Server 12.2.1.3.0

  • Oracle WebLogic Server 12.2.1.4.0

  • Oracle WebLogic Server 14.1.1.0.0 


修复建议


目前官方已发布Oracle WebLogic Server的安全修复版本,请尽快检查更新并升级。

若非必要,请禁用T3协议和IIOP协议。

1

禁用T3协议方法

  1. 进入WebLogic控制台,在base_domain的配置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。

  2. 在连接筛选器中输入:WebLogic.security.net.ConnectionFilterImpl,参考以下写法,在连接筛选器规则中配置符合企业实际情况的规则。


    127.0.0.1 * * allow t3 t3s

    本机IP * * allow t3 t3s

    允许访问的IP * * allow t3 t3s

    * * * deny t3 t3s


  3. 连接筛选器规则格式如下:target localAddress localPort action protocols,其中:

    √.target:指定一个或多个要筛选的服务器。

    √.localAddress:可定义服务器的主机地址。(如果指定为一个星号 (*),则返回的匹配结果将是所有本地IP地址。)

    √.localPort:定义服务器正在监听的端口。(如果指定了星号,则匹配返回的结果将是服务器上所有可用的端口)。

    √.action:指定要执行的操作。(值必须为“allow”或“deny”。)

    √.protocols:是要进行匹配的协议名列表。(必须指定下列其中一个协议:http、https、t3、t3s、giop、giops、dcom 或 ftp。) 如果未定义协议,则所有协议都将与一个规则匹配。

  4. 保存后若规则未生效,建议重新启动WebLogic服务(重启WebLogic服务会导致业务中断,建议相关人员评估风险后,再进行操作)。

2

禁用IIOP协议方法

在WebLogic控制台中,选择“服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选。并重启WebLogic项目,使配置生效。


参考链接


https://www.oracle.com/security-alerts/cpuoct2021.html

分享到微信
X