• 我的位置:
  • 首页
  • -
  • 漏洞预警
  • -
  • 中间件
  • -
    • WebLogic多个中危漏洞通告
    • CNNVD编号:未知
    • 危害等级: 中危 
    • CVE编号:CVE-2021-2211/2294
    • 漏洞类型: 未知
    • 威胁类型:未知
    • 厂       商:未知
    • 漏洞来源:深信服
    • 发布时间:2021-05-08
    • 更新时间:2021-05-08

    漏洞简介

    1、组件介绍

    Weblogic是美国Oracle公司出品的一个Application Server,确切的说是一个基于Jave EE架构的中间件,Weblogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。

    Weblogic将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中,是商业市场上主要的Java(J2EE)应用服务器软件(Application Server)之一,是世界上第一个成功商业化的J2EE应用服务器,具有可扩展性,快速开发,灵活,可靠性等优势。

    2、漏洞描述

    2021年4月21日,深信服安全团队监测到Oracle官方发布了2021年4月份补丁通告,通告披露了WebLogic组件存在两个中危漏洞,漏洞编号:CVE-2021-2211、CVE-2021-2294。


    CVE-2021-2211     

    攻击者可以在授权的情况下通过IIOP、T3协议对存在漏洞的WebLogic Server组件进行攻击。最终造成信息泄露。

    CVE-2021-2294

    攻击者可以在授权的情况下通过IIOP、T3协议对存在漏洞的WebLogic Server组件进行攻击。最终造成信息泄露。


    漏洞公示

    搭建WebLogic组件10.3.6.0.0版本环境,复现该漏洞,效果如下:

    CVE-2021-2211复现:

    CVE-2021-2294复现:

    参考网站

    暂无

    受影响实体

    目前据统计,在全球范围内对互联网开放WebLogic的资产数量多达35,894台,其中归属中国地区的受影响资产数量1万以上,受众面较广。


    目前受影响的Oracle WebLogic Server版本:

    CVE-2021-2211:

    Oracle WebLogic Server 10.3.6.0.0

    Oracle WebLogic Server 12.2.1.3.0

    Oracle WebLogic Server 12.2.1.4.0

    Oracle WebLogic Server 14.1.1.0.0

    CVE-2021-2294:

    Oracle WebLogic Server 10.3.6.0.0

    Oracle WebLogic Server 12.1.3.0.0

    Oracle WebLogic Server 12.2.1.3.0

    Oracle WebLogic Server 12.2.1.4.0

    Oracle WebLogic Server 14.1.1.0.0

    补丁

    1、如何检测组件系统版本

    用户可以通过进入Weblogic安装主目录下的OPatch目录,在此处打开命令行,输入.\opatch lspatches命令,结果如下:


    2、官方修复建议

    当前官方已发布受影响版本的对应补丁,建议受影响的用户及时更新官方的安全补丁。链接如下:

    https://www.oracle.com/security-alerts/cpuapr2021.html


    打补丁/升级方法:

    使用Opatch进行补丁安装

    进入Oracle\Middleware\Oracle_Home\OPatch路径下,运行opatch.bat脚本


    运行opatch apply {weblogic补丁文件夹}命令进行补丁安装,如下图:


    再运行opatch lspatches命令,查看补丁号,确认是否成功安装最新补丁。


    注:用户需要使用Oracle官方更新的最新补丁,并且结合自己实际使用的WebLogic Server版本号,选择对应的补丁进行安装。

    3、临时修复建议

    该临时修复建议存在一定风险,建议用户可根据业务系统特性审慎选择采用临时修复方案:

    例如:

    1.可通过关闭IIOP协议对此漏洞进行临时防御。操作如下:

    在Weblogic控制台中,选择“服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选。并重启Weblogic项目,使配置生效。


     2.对T3服务进行控制

    控制T3服务的方法:


    在上图这个WebLogic界面中选择安全-筛选器,在下方出现的界面中找到“连接筛选器”,在里面输入

    security.net.ConnectionFilterImpl

    然后在连接筛选器规则中输入

    127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s

    最后保存并重启服务器即可生效。

    4、深信服解决方案

    深信服下一代防火墙】可防御此漏洞, 建议用户将深信服下一代防火墙开启 IPS 防护策略,并更新最新安全防护规则,即可轻松抵御此高危风险。

    深信服安全感知平台】结合云端实时热点高危/紧急漏洞信息,可快速检出业务场景下的该漏洞,并可联动【深信服下一代防火墙等产品】实现对攻击者IP的封堵。

    深信服安全云眼】在漏洞爆发之初,已完成检测更新,对所有用户网站探测,保障用户安全。不清楚自身业务是否存在漏洞的用户,可注册信服云眼账号,获取30天免费安全体验。

    注册地址:http://saas.sangfor.com.cn

    深信服云镜】在漏洞爆发第一时间即完成检测能力的发布,部署了云镜的用户可以通过升级来快速检测网络中是否受该高危风险影响,避免被攻击者利用。离线使用云镜的用户需要下载离线更新包来获得漏洞检测能力,可以连接云端升级的用户可自动获得漏洞检测能力。

    返回漏洞列表