近日，Oracle官方發(fā)布了7月份的關(guān)鍵補(bǔ)丁,其中包含多個(gè)高危的Weblogic組件漏洞，包括： CVE-2021-2397、CVE-2021-2376、CVE-2021-2378、CVE-2021-2382、CVE-2021-2403、CVE-2021-2394，攻擊者可能利用此些漏洞獲取WebLogic服務(wù)器權(quán)限。鑒于漏洞危害較高，建議受影響的用戶盡快更新官方發(fā)布的安全補(bǔ)丁。

【漏洞描述】

其中定為嚴(yán)重CVE-2021-2397、CVE-2021-2382、CVE-2021-2394，攻擊者可以在未授權(quán)的情況下通過(guò)IIOP、T3協(xié)議對(duì)存在漏洞的Oracle WebLogic Server組件進(jìn)行攻擊。成功利用該漏洞的攻擊者可以接管Oracle WebLogic Server。

【漏洞影響版本】

CVE-2021-2397、CVE-2021-2382、CVE-2021-2394漏洞影響版本：

Oracle WebLogic Server 10.3.6.0.0

Oracle WebLogic Server 12.1.3.0.0

Oracle WebLogic Server 12.2.1.3.0

Oracle WebLogic Server 12.2.1.4.0

Oracle WebLogic Server 14.1.1.0.0

以上均為官方支持的版本

【修復(fù)方案】

Oracle官方已經(jīng)在2021年7月關(guān)鍵補(bǔ)丁更新中修復(fù)了該漏洞，強(qiáng)烈建議受影響的用戶盡快升級(jí)更新進(jìn)行防護(hù)。

注：Oracle官方補(bǔ)丁需要用戶持有正版軟件的許可賬號(hào)，使用該賬號(hào)登陸https://support.oracle.com后，可以下載最新補(bǔ)丁。

相關(guān)鏈接：

https://www.oracle.com/security-alerts/cpujul2021.html 

臨時(shí)解決方案：

臨時(shí)修復(fù)建議存在一定風(fēng)險(xiǎn)，建議用戶根據(jù)業(yè)務(wù)系統(tǒng)實(shí)際情況評(píng)估后選擇采用臨時(shí)修復(fù)方案。

一、禁用T3協(xié)議

漏洞產(chǎn)生于WebLogic的T3服務(wù)，因此可通過(guò)控制T3協(xié)議的訪問來(lái)臨時(shí)阻斷針對(duì)該漏洞的攻擊。當(dāng)開放WebLogic控制臺(tái)端口（默認(rèn)為7001端口）時(shí)，T3服務(wù)會(huì)默認(rèn)開啟。

具體操作：

（1）進(jìn)入WebLogic控制臺(tái)，在base_domain的配置頁(yè)面中，進(jìn)入“安全”選項(xiàng)卡頁(yè)面，點(diǎn)擊“篩選器”，進(jìn)入連接篩選器配置。

（2）在連接篩選器中輸入：weblogic.security.net.ConnectionFilterImpl，在連接篩選器規(guī)則中輸入：127.0.0.1 * * allow t3 t3s，0.0.0.0/0 * * deny t3 t3s（t3和t3s協(xié)議的所有端口只允許本地訪問）。

（3）保存后需重新啟動(dòng)，規(guī)則方可生效。

二、禁用IIOP協(xié)議

用戶可通過(guò)關(guān)閉IIOP協(xié)議阻斷針對(duì)利用IIOP協(xié)議漏洞的攻擊，操作如下：

在Weblogic控制臺(tái)中base_domain配置頁(yè)面，依次點(diǎn)擊“環(huán)境”-“服務(wù)器”，在服務(wù)器配置頁(yè)面中選擇對(duì)應(yīng)的服務(wù)器后，切換到“協(xié)議”-“IIOP”選項(xiàng)卡，取消勾選“啟用 IIOP”，并重啟Weblogic項(xiàng)目生效。

三、臨時(shí)關(guān)閉后臺(tái)

可臨時(shí)關(guān)閉后臺(tái)/console/console.portal、/console/consolejndi.portal對(duì)外訪問。