高危！Oracle WebLogic多个组件漏洞安全风险通告

你信任的亚信安全 2022-08-17

漏洞描述

2021年10月20日，亚信安全CERT监控到Oracle官方发布了安全更新，修复了CVE-2021-35552、CVE-2021-35617、CVE-2021-35620等在内的多个存在于Oracle WebLogic中的漏洞。经亚信安全CERT技术研判后判定Oracle WebLogic Server远程代码执行漏洞（CVE-2021-35617）影响较为严重。

Oracle WebLogic是美国Oracle公司基于JavaEE架构开发的中间件。其主要是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。

亚信安全CERT建议使用Oracle WebLogic的客户尽快自查所使用版本并修复漏洞。

漏洞编号及定级

高危 Oracle WebLogic Server拒绝服务漏洞（CVE-2021-35620）
严重 Oracle WebLogic Server远程代码执行漏洞（CVE-2021-35617）
中危 Oracle WebLogic Server诊断组件不正确的输入验证漏洞（CVE-2021-35552）

漏洞状态

受影响的版本

Oracle WebLogic Server 10.3.6.0.0
Oracle WebLogic Server 12.1.3.0.0
Oracle WebLogic Server 12.2.1.3.0
Oracle WebLogic Server 12.2.1.4.0
Oracle WebLogic Server 14.1.1.0.0

修复建议

➢ 目前官方已发布Oracle WebLogic Server的安全修复版本，请尽快检查更新并升级。

➢ 若非必要，请禁用T3协议和IIOP协议。

禁用T3协议方法

进入WebLogic控制台，在base_domain的配置页面中，进入“安全”选项卡页面，点击“筛选器”，进入连接筛选器配置。
在连接筛选器中输入：WebLogic.security.net.ConnectionFilterImpl，参考以下写法，在连接筛选器规则中配置符合企业实际情况的规则。

127.0.0.1 * * allow t3 t3s
本机IP * * allow t3 t3s
允许访问的IP * * allow t3 t3s
* * * deny t3 t3s
连接筛选器规则格式如下：target localAddress localPort action protocols，其中：
√.target：指定一个或多个要筛选的服务器。
√.localAddress：可定义服务器的主机地址。(如果指定为一个星号 (*)，则返回的匹配结果将是所有本地IP地址。)
√.localPort：定义服务器正在监听的端口。(如果指定了星号，则匹配返回的结果将是服务器上所有可用的端口)。
√.action：指定要执行的操作。(值必须为“allow”或“deny”。)
√.protocols：是要进行匹配的协议名列表。(必须指定下列其中一个协议：http、https、t3、t3s、giop、giops、dcom 或 ftp。) 如果未定义协议，则所有协议都将与一个规则匹配。
保存后若规则未生效，建议重新启动WebLogic服务（重启WebLogic服务会导致业务中断，建议相关人员评估风险后，再进行操作）。