【清静通告】WebLogic多个高危误差通告

2021-07-22

一. 误差概述

7月21日，AG公司科技CERT监测到Oracle官方宣布了2021年7月要害补丁更新通告CPU（Critical Patch Update），共修复了342个差别水平的误差，其中包括3个影响WebLogic的严重误差，使用重漂后低，建议用户尽快接纳步伐，对此次的误差举行防护。

CVE-2021-2382/CVE-2021-2394/CVE-2021-2397：未经身份验证的攻击者发送恶意结构的T3或IIOP协议请求，可在目的服务器上执行恣意代码，CVSS评分为9.8

CVE-2021-2376/CVE-2021-2378：未经身份验证的攻击者通过T3或IIOP协议发送恶意请求，可造成目的服务器挂起或瓦解，CVSS评分为7.5

CVE-2015-0254：此误差保存于Apache Standard Taglibs中，当应用程序使用 <x:parse> 或 <x:transform> 标签处置惩罚不受信托的XML文档时，1.2.3版本之前的 Apache Standard Taglibs允许远程攻击者使用XSLT 扩展执行恣意代码或举行XML外部实体注入(XXE) 攻击，CVSS评分为7.3

CVE-2021-2403：未经身份验证的攻击者可以通过HTTP发送恶意请求，未授权会见目的服务器的某些数据，CVSS评分为5.3

参考链接：

https://www.oracle.com/security-alerts/cpujul2021.html#AppendixFMW

二. 影响规模

受影响版本

WebLogic Server 10.3.6.0.0

WebLogic Server 12.1.3.0.0

WebLogic Server 12.2.1.3.0

WebLogic Server 12.2.1.4.0

WebLogic Server 14.1.1.0.0

三. 误差检测

3.1 外地检测

可使用如下下令对WebLogic版本和补丁装置的情形举行排查。

$ cd /Oracle/Middleware/wlserver_10.3/server/lib

$ java -cp weblogic.jar weblogic.version

在显示效果中，若是没有补丁装置的信息，则说明保存危害，如下图所示：

3.2 T3协议探测

Nmap工具提供了WebLogic T3协议的扫描剧本，可探测开启T3服务的WebLogic主机。下令如下：

nmap -n -v -Pn –sV [主机或网段地点] –p（默认）7001,7002 --script=weblogic-t3-info.nse

如下图红框所示，目的开启了T3协议且WebLogic版本在受影响规模之内，若是相关职员没有装置官方的清静补丁，则保存误差危害。

四. 误差防护

4.1 补丁更新

现在Oracle已宣布补丁修复了上述误差，请用户参考官方通告实时下载受影响产品更新补丁，并参照补丁装置包中的readme文件举行装置更新，以包管恒久有用的防护。

注：Oracle官方补丁需要用户持有正版软件的允许账号，使用该账号上岸https://support.oracle.com后，可以下载最新补丁。

4.2 暂时防护步伐

若是用户暂时无法装置更新补丁，可通过下列步伐对高危误差举行暂时防护：

4.2.1 限制T3协议会见

用户可通过控制T3协议的会见来暂时阻断针对使用T3协议误差的攻击。WebLogic Server提供了名为 weblogic.security.net.ConnectionFilterImpl 的默认毗连筛选器，此毗连筛选器接受所有传入毗连，可通过此毗连筛选器设置规则，对T3及T3s协议举行会见控制，详细操作办法如下：

1. 进入WebLogic控制台，在base_domain的设置页面中，进入“清静”选项卡页面，点击“筛选器”，进入毗连筛选器设置。

2. 在毗连筛选器中输入：weblogic.security.net.ConnectionFilterImpl，参考以下写法，在毗连筛选器规则中设置切合企业现真相形的规则：

127.0.0.1 * * allow t3 t3s

本机IP ** allow t3 t3s

允许会见的IP * * allow t3 t3s

* * * deny t3 t3s

毗连筛选器规则名堂如下：target localAddress localPort action protocols，其中：

· target 指定一个或多个要筛选的服务器。

· localAddress 可界说服务器的主机地点。(若是指定为一个星号 (*)，则返回的匹配效果将是所有外地 IP 地点。)

· localPort 界说服务器正在监听的端口。(若是指定了星号，则匹配返回的效果将是服务器上所有可用的端口)。

· action 指定要执行的操作。(值必需为“allow”或“deny”。)

· protocols 是要举行匹配的协议名列表。(必需指定下列其中一个协议：http、https、t3、t3s、giop、giops、dcom 或 ftp。) 若是未界说协议，则所有协议都将与一个规则匹配。