登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们
docurl=/cn/Products___Technology/Products/IP_Security/Security_Research/Home/Notice/Notice/202211/1715103_30003_0.htm

Oracle Weblogic Server多个高危漏洞安全风险通告

【发布时间:2022-11-02】

1. 漏洞综述

1.1 漏洞背景

Weblogic是由美国Oracle公司出品的一款基于JAVAEE架构的中间件,主要用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器,在国内外应用十分广泛。

新华三攻防实验室威胁预警团队监测到Oracle官方7月20日发布了2022年7月份关键补丁更新公告,此次更新修复了多个Weblogic高危漏洞,其中CVE-2022-22965(Spring Framework远程代码执行漏洞),CVE-2022-23450(Dojo原型污染漏洞),CVE-2022-23457(OWASP ESAPI路径遍历漏洞)影响较大,但以上漏洞均由于引入第三方中间件引起历史漏洞,建议受影响的用户尽快更新官方发布的安全补丁。

1.2 漏洞描述

1. CVE-2022-21548 Oracle WebLogic Server拒绝服务漏洞

未经身份验证的恶意攻击者可以通过T3/IIOP访问Oracle WebLogic Server,通过发送特制的恶意数据能够对服务器上的数据进行更新、插入、删除等操作,还可以导致Oracle WebLogic Server拒绝服务(DOS)。

评分:6.5 危害等级:中危

2. CVE-2022-21560 Oracle WebLogic Server拒绝服务漏洞

未经身份验证的攻击者通过 T3/IIOP 访问网络来破坏 Oracle WebLogic Server,恶意攻击者通过发送特制的恶意请求还可以使得Oracle WebLogic Server拒绝服务(DOS)。

评分:5.3 危害等级:中危

2. 影响范围

下表为受影响的Oracle WebLogic Server版本详细信息

CVE编号

影响范围

协议

CVSS评分

CVE-2022-23457

12.2.1.3.0,

12.2.1.4.0,

14.1.1.0.0

HTTP

9.8

CVE-2021-23450

12.2.1.4.0,

14.1.1.0.0

HTTP

9.8

CVE-2022-22965

12.2.1.3.0,

12.2.1.4.0,

14.1.1.0.0

HTTP

9.8

CVE-2021-26291

12.2.1.3.0,

12.2.1.4.0

HTTP

9.1

CVE-2021-2351

12.2.1.3.0,

12.2.1.4.0,

14.1.1.0.0

Oracle Net

8.3

CVE-2020-11987

12.2.1.3.0,

12.2.1.4.0,

14.1.1.0.0

HTTP

8.2

CVE-2020-36518

12.2.1.3.0,

12.2.1.4.0,

14.1.1.0.0

HTTP

7.5

CVE-2022-24839

12.2.1.3.0,

12.2.1.4.0,

14.1.1.0.0

HTTP

7.5

CVE-2020-28491

12.2.1.3.0,

12.2.1.4.0,

14.1.1.0.0

HTTP

7.5

CVE-2021-40690

12.2.1.3.0,

12.2.1.4.0,

14.1.1.0.0

HTTP

7.5

CVE-2022-21548

12.2.1.3.0,

12.2.1.4.0,

14.1.1.0.0

T3, IIOP

6.5

CVE-2022-29577

12.2.1.3.0,

12.2.1.4.0,

14.1.1.0.0

HTTP

6.1

CVE-2022-21557

12.2.1.3.0,

12.2.1.4.0,

14.1.1.0.0

5.7

CVE-2022-21560

12.2.1.3.0,

12.2.1.4.0,

14.1.1.0.0

T3, IIOP

5.3

CVE-2022-21564

12.2.1.3.0,

12.2.1.4.0,

14.1.1.0.0

T3, IIOP

5.3

3. 处置方法

3.1 官方补丁

目前官方已发布漏洞安全补丁,请受影响的用户及时升级补丁以修复该漏洞,参考链接: https://www.oracle.com/security-alerts/cpujul2022.html

3.2 临时缓解措施

若无法安装升级修复补丁,可采取如下修复措施:

1、 限制外部主机使用T3协议通信

1)进入Weblogic控制台,在base_domain的域设置页面中,选择“安全”-“筛选器”选项卡,对连接筛选器进行配置;

2)在连接筛选器输入框中输入:weblogic.security.net.ConnectionFilterImpl;

3)在连接筛选器规则输入框中输入:127.0.0.1 * * allow t3 t3s(仅允许本机)0.0.0.0/0 * * deny t3 t3s;

4)保存提交后若规则未生效,则需重启Weblogic服务。

2、 关闭IIOP协议

1) 登录Weblogic控制台,进入base_domain配置页面;

2)依次点击“环境”-“服务器”,在服务器配置页面中选择对应的服务器后,切换到“协议”-“IIOP”选项卡,取消勾选“启用 IIOP”;

3)重启 Weblogic 项目,使其生效。

3.3 漏洞环境检测

1、可在Weblogic安装目录server/lib下通过命令:java -cp weblogic.jar weblogic.version查看Weblogic版本和补丁安装情况。

2、或登录Weblogic Console控制台,在域结构中点击进入“环境”-“服务器”,在服务器“配置”选项卡中点击对应的服务器后,切换至“监视”-“一般信息”选型卡,可查看Weblogic版本等信息。

4. 参考链接

https://www.oracle.com/security-alerts/cpujul2022.html#AppendixFMW

新华三官网
联系我们