关于Oracle Weblogic多个高危漏洞的安全预警

发布者:戚腾飞发布时间:2021-01-21浏览次数:14

近日,Oracle官方发布了2021年1月份关键补丁更新公告,包含329个安全补丁,其中涉及7个漏洞评分为9.8的Weblogic Server的高危漏洞(CVE-2019-17195、CVE-2021-1994、CVE-2021-2047、CVE-2021-2064、CVE-2021-2108、CVE-2021-2075、CVE-2020-14756),未经身份验证的攻击者可能利用该漏洞获取WebLogic服务器权限。提醒有关Oracle Weblogic师生用户,请及时下载补丁更新,避免引发漏洞相关的安全事件。

漏洞背景:

Weblogic是由美国Oracle公司出品的一款基于J2EE架构的中间件,主要用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器,在国内外应用十分广泛。

漏洞原理:

CVE-2021-2047、CVE-2021-2075、CVE-2021-2064、CVE-2021-2108和CVE-2020-14756漏洞与IIOP、T3协议有关,受影响组件主要为Weblogic Core和Coherence,Weblogic使用IIOP、T3协议进行JVM通信,且默认开启;CVE-2019-17195和CVE-2021-1994两个漏洞可通过HTTP协议进行利用,受影响的组件分别为WebLogicCore(Connect2id Nimbus JOSE+JWT)和Web Services。未经身份验证的远程攻击者可构造恶意数据通过IIOP、T3和HTTP协议对存在漏洞的组件进行攻击,从而获取服务器权限,实现远程代码执行。

影响范围:

CVE编号影响范围协议
CVE-2019-17195

Oracle WebLogic Server 12.1.3.0.0

Oracle WebLogic Server 12.2.1.4.0

HTTP
CVE-2021-1994

Oracle WebLogic Server 10.3.6.0.0

Oracle WebLogic Server 12.1.3.0.0

HTTP
CVE-2021-2047

Oracle WebLogic Server 10.3.6.0.0

Oracle WebLogic Server 12.1.3.0.0

Oracle WebLogic Server 12.2.1.3.0

Oracle WebLogic Server 12.2.1.4.0

Oracle WebLogic Server 14.1.1.0.0

IIOP, T3
CVE-2021-2075

Oracle WebLogic Server 10.3.6.0.0

Oracle WebLogic Server 12.1.3.0.0

Oracle WebLogic Server 12.2.1.3.0

Oracle WebLogic Server 12.2.1.4.0

Oracle WebLogic Server 14.1.1.0.0

IIOP, T3
CVE-2021-2064Oracle WebLogic Server 12.1.3.0.0IIOP, T3
CVE-2021-2108Oracle WebLogic Server 12.1.3.0.0IIOP, T3
CVE-2020-14756

Oracle Coherence 3.7.1.0

Oracle Coherence 12.1.3.0.0

Oracle Coherence 12.2.1.3.0

Oracle Coherence 12.2.1.4.0

Oracle Coherence 14.1.1.0.0

IIOP, T3


处置方法:

1、官方补丁

目前Oracle官方已发布漏洞安全补丁,请受影响的用户及时升级补丁以修复该漏洞,参考链接:https://www.oracle.com/security-alerts/cpujan2021.html

2、临时缓解措施

若无法安装升级修复补丁,可采取如下修复措施:

限制外部主机使用T3协议通信:

1)进入Weblogic控制台,在base_domain的域设置页面中,选择“安全”-“筛选器”选项卡,对连接筛选器进行配置;

2)在连接筛选器输入框中输入:weblogic.security.net.ConnectionFilterImpl;

3)在连接筛选器规则输入框中输入:127.0.0.1 * * allow t3 t3s(仅允许本机)0.0.0.0/0 * * deny t3 t3s;

4)保存提交后若规则未生效,则需重启Weblogic服务。

关闭IIOP协议:

1)登录Weblogic控制台,进入base_domain配置页面;

2)依次点击“环境”-“服务器”,在服务器配置页面中选择对应的服务器后,切换到“协议”-“IIOP”选项卡,取消勾选“启用 IIOP”;

3)重启Weblogic项目,使其生效。


相关来源:沈阳网络安全协会