首页安全服务安全公告
正文

关于Weblogic多个高危漏洞安全预警与建议

发布时间:2021-01-21 14:01   浏览次数:6245

1. 概述

近日,Oracle官方发布了1月份的关键补丁,其中包含多个高危的Weblogic组件漏洞,包括: CVE-2019-17195、CVE-2020-14756、CVE-2021-2047、CVE-2021-2064、CVE-2021-2075、CVE-2021-2108、CVE-2021-1994、CVE-2021-2109,攻击者可能利用此些漏洞获取WebLogic服务器权限。鉴于漏洞危害较高,建议受影响的用户尽快更新官方发布的安全补丁。


2. 漏洞说明

CVE-2021-2047、CVE-2021-2075、CVE-2021-2064、CVE-2021-2108、CVE-2020-14756漏洞通过IIOP,T3协议进行网络攻击;CVE-2019-17195漏洞利用WebLogic Core(Connect2id Nimbus JOSE+JWT)组件;CVE-2021-1994漏洞利用Web Services组件;其中CVE-2021-2109漏洞受到高度关注,利用此漏洞通过console组件进行JNDI注入,攻击者可远程获得Oracle WebLogic Server权限,危害较大。


3. 影响范围

CVE-2021-2109漏洞Weblogic影响版本:

WebLogic 10.3.6.0.0

WebLogic 12.1.3.0.0

WebLogic 12.2.1.3.0

WebLogic 12.2.1.4.0

WebLogic 14.1.1.0.0

以上均为官方支持的版本


4. 缓解措施

Oracle官方已经在2021年1月关键补丁更新(CPU)中修复了该漏洞,强烈建议受影响的用户尽快升级更新进行防护。

注:Oracle官方补丁需要用户持有正版软件的许可账号,使用该账号登陆https://support.oracle.com后,可以下载最新补丁。

相关链接:

https://www.oracle.com/security-alerts/cpujan2021.html

 

【临时解决方案:】

一、禁用T3协议

漏洞产生于WebLogic的T3服务,因此可通过控制T3协议的访问来临时阻断针对该漏洞的攻击。当开放WebLogic控制台端口(默认为7001端口)时,T3服务会默认开启。

具体操作:

(1)进入WebLogic控制台,在base_domain的配置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。

(2)在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则中输入:127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s(t3和t3s协议的所有端口只允许本地访问)。

(3)保存后需重新启动,规则方可生效。


图片1.png


二、禁用IIOP协议

用户可通过关闭IIOP协议阻断针对利用IIOP协议漏洞的攻击,操作如下:

在Weblogic控制台中base_domain配置页面,依次点击“环境”-“服务器”,在服务器配置页面中选择对应的服务器后,切换到“协议”-“IIOP”选项卡,取消勾选“启用 IIOP”,并重启Weblogic项目生效。


图片2.png


三、临时关闭后台/console/console.portal、/console/consolejndi.portal对外访问

更新信息请随时关注海峡信息安全服务平台http://www.fjssc.cn或微信公众号:

图片3.png


福建省海峡信息技术有限公司 版权所有  联系: hxzhb@heidun.net 闽ICP备06011901号 © 1999-2021 Fujian Strait Information Corporation. All Rights Reserved.

返回顶部