WebLogic多个高危漏洞安全风险通告

发布日期：2021-7-22

漏洞描述

2021年7月22日，监测到Oracle官方发布了2021年7月关键补丁更新公告CPU（Critical Patch Update），共修复了342个不同程度的漏洞，其中包括3个影响WebLogic的严重漏洞，利用复杂度低，建议用户尽快采取措施，对此次的漏洞进行防护。

CVE-2021-2382/CVE-2021-2394/CVE-2021-2397：未经身份验证的攻击者发送恶意构造的T3或IIOP协议请求，可在目标服务器上执行任意代码，CVSS评分为9.8。

CVE-2021-2376/CVE-2021-2378：未经身份验证的攻击者通过T3或IIOP协议发送恶意请求，可造成目标服务器挂起或崩溃，CVSS评分为7.5。

CVE-2015-0254：此漏洞存在于Apache Standard Taglibs中，当应用程序使用 <x:parse> 或 <x:transform> 标签处理不受信任的XML文档时，1.2.3版本之前的 Apache Standard Taglibs允许远程攻击者利用XSLT 扩展执行任意代码或进行XML外部实体注入(XXE) 攻击，CVSS评分为7.3。

CVE-2021-2403：未经身份验证的攻击者可以通过HTTP发送恶意请求，未授权访问目标服务器的某些数据，CVSS评分为5.3。

漏洞编号

CVE-2021-2382/CVE-2021-2394/CVE-2021-2397

漏洞危害

攻击者利用此类漏洞，可实现远程代码执行、拒绝服务等。

漏洞等级

高危

受影响版本

WebLogic Server 10.3.6.0.0

WebLogic Server 12.1.3.0.0

WebLogic Server 12.2.1.3.0

WebLogic Server 12.2.1.4.0

WebLogic Server 14.1.1.0.0

修复方案

1.补丁更新

Oracle目前已发布补丁修复了上述漏洞，请用户参考官方通告及时下载受影响产品更新补丁，并参照补丁安装包中的readme文件进行安装更新，以保证长期有效的防护。

注：Oracle官方补丁需要用户持有正版软件的许可账号，使用该账号登陆https://support.oracle.com后，可以下载最新补丁。

2.临时缓解措施

如果用户暂时无法安装更新补丁，可通过下列措施对漏洞进行临时防护：

(1)限制T3协议访问

用户可通过控制T3协议的访问来临时阻断针对利用T3协议漏洞的攻击。WebLogic Server 提供了名为 weblogic.security.net.ConnectionFilterImpl 的默认连接筛选器，此连接筛选器接受所有传入连接，可通过此连接筛选器配置规则，对T3及T3s协议进行访问控制。

(2)禁用IIOP协议

用户可通过关闭IIOP协议阻断针对利用IIOP协议漏洞的攻击。

参考链接

https://www.oracle.com/security-alerts/cpujul2021.html#AppendixFMW