组件介绍
WebLogic是美国Oracle公司出品的一个Application Server,确切的说是一个基于Jave EE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。
WebLogic将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中,是商业市场上主要的Java(J2EE)应用服务器软件(Application Server)之一,是世界上第一个成功商业化的J2EE应用服务器,具有可扩展性,快速开发,灵活,可靠性等优势。
漏洞描述
Oracle官方发布了2021年4月的补丁修复如下漏洞:CVE-2021-2157、CVE-2021-2294、CVE-2021-2204、CVE-2021-2214、CVE-2021-2135、CVE-2021-2136、CVE-2021-2211、CVE-2021-2277、CVE-2020-25649、CVE-2021-2142,其中涉及WebLogic组件的高危漏洞有2个,cvss评分为9.8,分别为CVE-2021-2135、CVE-2021-2136。漏洞危害较大,建议受影响的客户尽快更新官方发布的安全补丁。
CVE-2021-2136
攻击者可以在未授权的情况下通过IIOP协议对存在漏洞的WebLogic Server组件进行攻击。成功利用该漏洞的攻击者可以接管WebLogic Server。
CVE-2021-2135
攻击者可以在未授权的情况下通过IIOP、T3协议对存在漏洞的WebLogic Server组件进行攻击。成功利用该漏洞的攻击者可以接管WebLogic Server。
影响范围
目前据统计,在全球范围内对互联网开放WebLogic的资产数量多达35,894台,其中归属中国地区的受影响资产数量1万以上,受众面较广。
目前受影响的Oracle WebLogic Server版本:
CVE-2021-2136:
12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
CVE-2021-2135:
12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
解决方案
- 如何检测组件系统版本
用户可以通过进入WebLogic安装主目录下的OPatch目录,在此处打开命令行,输入.\opatch lspatches命令,结果如下:
![图片[1]-Oracle四月份补丁日高危漏洞安全公告 – 作者:深信服千里目安全实验室-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210421/1618996732_607fedfc4ad9c055715bb.png)
- 官方修复建议
当前官方已发布受影响版本的对应补丁,建议受影响的用户及时更新官方的安全补丁。链接如下:
https://www.oracle.com/security-alerts/cpuapr2021.html
打补丁/升级方法:
当前官方已发布受影响版本的对应补丁,建议受影响的用户及时更新官方的安全补丁。链接如下:
https://www.oracle.com/security-alerts/cpuapr2021.html
打补丁/升级方法:
使用Opatch进行补丁安装
进入Oracle\Middleware\Oracle_Home\OPatch路径下,运行opatch.bat脚本
![图片[2]-Oracle四月份补丁日高危漏洞安全公告 – 作者:深信服千里目安全实验室-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210421/1618996832_607fee6066806a1f6a08a.png)
运行opatch apply {WebLogic补丁文件夹}命令进行补丁安装,如下图:
![图片[3]-Oracle四月份补丁日高危漏洞安全公告 – 作者:深信服千里目安全实验室-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210421/1618996852_607fee740f5944bb4ffd3.png)
再运行opatch lspatches命令,查看补丁号,确认是否成功安装最新补丁。
![图片[4]-Oracle四月份补丁日高危漏洞安全公告 – 作者:深信服千里目安全实验室-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210421/1618996872_607fee885636f76725599.png)
注:用户需要使用Oracle官方更新的最新补丁,并且结合自己实际使用的WebLogic Server版本号,选择对应的补丁进行安装。
- 临时修复建议
该临时修复建议存在一定风险,建议用户可根据业务系统特性审慎选择采用临时修复方案:
例如:
1.可通过关闭IIOP协议对此漏洞进行临时防御。操作如下:
在WebLogic控制台中,选择“服务”->”AdminServer”->”协议”,取消“启用IIOP”的勾选。并重启WebLogic项目,使配置生效。
![图片[5]-Oracle四月份补丁日高危漏洞安全公告 – 作者:深信服千里目安全实验室-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210421/1618996914_607feeb274d8891b022ae.png)
2.对T3服务进行控制
控制T3服务的方法:
![图片[6]-Oracle四月份补丁日高危漏洞安全公告 – 作者:深信服千里目安全实验室-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210421/1618996930_607feec25564acc4ba344.png)
在上图这个WebLogic界面中选择安全-筛选器,在下方出现的界面中找到“连接筛选器”,在里面输入
security.net.ConnectionFilterImpl
然后在连接筛选器规则中输入
127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s
最后保存并重启服务器即可生效。
深信服解决方案
【深信服安全云眼】在漏洞爆发之初,已完成检测更新,对所有用户网站探测,保障用户安全。不清楚自身业务是否存在漏洞的用户,可注册信服云眼账号,获取30天免费安全体验。
注册地址:http://saas.sangfor.com.cn
【深信服云镜】在漏洞爆发第一时间即完成检测能力的发布,部署了云镜的用户可以通过升级来快速检测网络中是否受该高危风险影响,避免被攻击者利用。离线使用云镜的用户需要下载离线更新包来获得漏洞检测能力,可以连接云端升级的用户可自动获得漏洞检测能力。
时间轴
2021/4/21 Oracle发布2021年4月关键补丁更新公告修复如下漏洞:CVE-2021-2157、CVE-2021-2294、CVE-2021-2204、CVE-2021-2214、CVE-2021-2135、CVE-2021-2136、CVE-2021-2211、CVE-2021-2277、CVE-2020-25649、CVE-2021-2142。
2021/4/21 深信服千里目安全实验室监测并发布Oracle四月份高危漏洞公告。
来源:freebuf.com 2021-04-21 17:40:37 by: 深信服千里目安全实验室
请登录后发表评论
注册