- CNNVD编号:未知
- 危害等级: 高危
- CVE编号:未知
- 漏洞类型: XXE
- 威胁类型:未知
- 厂 商:未知
- 漏洞来源:深信服
- 发布时间:2021-01-05
- 更新时间:2021-01-13
漏洞简介
1、WebLogic介绍
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。
将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。WebLogic是商业市场上主要的Java(J2EE)应用服务器软件(application server)之一,是世界上第一个成功商业化的J2EE应用服务器,具有可扩展性,快速开发,灵活,可靠性等优势。
2、漏洞描述
近日,深信服安全团队监控到WebLogic XML外部实体注入漏洞的消息,受害者服务器在开启T3或IIOP协议和目标可出网的条件下,攻击者通过构造恶意数据发起XML外部实体注入攻击,服务器接收恶意数据会进行反序列化操作,触发loadxml,加载解析恶意dtd文件,造成危害。
漏洞公示
参考网站
受影响实体
目前受影响的WebLogic版本:
WebLogic Server 10.3.6.0.0
WebLogic Server 12.1.3.0.0
WebLogic Server 12.2.1.3.0
WebLogic Server 12.2.1.4.0
WebLogic Server 14.1.1.0.0
补丁
1、官方修复方案
当前官方暂未发布受影响版本对应补丁,建议受影响的客户持续关注官方最新公告:
https://www.oracle.com/java/weblogic/
2、临时修复方案
1.可通过关闭IIOP协议对此漏洞进行临时防御。操作如下:
在Weblogic控制台中,选择“服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选。并重启Weblogic项目,使配置生效。
2.对T3服务进行控制
控制T3服务的方法:
在上图这个WebLogic界面中选择安全-筛选器,在下方出现的界面中找到“连接筛选器”,在里面输入
security.net.ConnectionFilterImpl
然后在连接筛选器规则中输入
127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s
最后保存并重启服务器即可生效。
