freebuf0x01
漏洞状态
漏洞细节 漏洞POC 漏洞EXP 在野利用 否 未知 未知 未知 |
0x02
漏洞描述
Oracle WebLogic Server 是行业领先的应用服务器,用于使用 Java EE 标准构建企业应用程序,并将它们部署在可靠、可扩展的运行时上,并且拥有成本低。它与 Oracle 的完整产品和云服务组合进行了战略集成。Oracle WebLogic Server 提供与先前版本的兼容性,并支持开发人员生产力、高可用性、可管理性和部署到基于云原生 Kubernetes 的环境的新特性。
2022年4月19日,Oracle官方发布了2022年4月的关键补丁程序更新CPU(Critical Patch Update),其中修复了多个存在于WebLogic中的漏洞。
CVE编号 影响组件 协议 是否远程未授权利用 CVSS 影响版本 CVE-2022-23305 WebLogic Server(Third Party Tools) HTTP 是 9.8 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 CVE-2022-21441 WebLogic Server(Core) T3/IIOP 是 7.5 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 CVE-2022-23437 WebLogic Server (Third Party Tools) HTTP 是 6.5 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 CVE-2022-21453 WebLogic Server( Console) HTTP 是 6.1 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 CVE-2022-41184 WebLogic Server ( Console, Samples) HTTP 是 6.1 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 CVE-2022-28170 WebLogic Server( Centralized Third Party Jars) HTTP 是 5.3 14.1.1.0.0 CVE-2020-8908 WebLogic Server(Third Party Tools) 无 否 3.3 14.1.1.0.0 |
以下列出值得关注的漏洞:
Oracle WebLogic Server拒绝服务漏洞
Oracle WebLogic Server 拒绝服务漏洞 漏洞编号 CVE-2022-21441 漏洞类型 拒绝服务 漏洞等级 高危(7.5) 公开状态 未知 在野利用 未知 漏洞描述 易于利用的漏洞允许未经身份验证的攻击者通过 T3/IIOP 访问网络来破坏 Oracle WebLogic Server。成功攻击此漏洞可能会导致未经授权的能力导致 Oracle WebLogic Server 挂起或频繁重复崩溃(完全 DOS)。 |
更多漏洞信息可登录Oracle官网获取:
https://www.oracle.com/security-alerts/cpuapr2022.html
0x03
漏洞等级
低危(3.3)~严重(9.8)
0x04
影响版本
Oracle Weblogic Server(影响版本详情见CVE表格)
0x05
修复建议
临时修复建议
1. 如果不依赖T3协议进行JVM通信,禁用T3协议:
①进入WebLogic控制台,在base_domain配置页面中,进入安全选项卡页面,点击筛选器,配置筛选器。
②在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入7001 deny t3 t3s保存生效。
③重启Weblogic项目,使配置生效。
官方修复建议
及时更新补丁,参考oracle官网发布的补丁:
https://www.oracle.com/security-alerts/cpuapr2022.html。
与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
转载请注明来自网盾网络安全培训,本文标题:《注意更新 | Oracle WebLogic Server多个组件安全漏洞》
