(028)61831184 
工作日9:00-12:00,13:00-17:00
iservice@uestc.edu.cn
信息安全
关于Oracle WebLogic存在多个安全漏洞隐患的通报
发布于:2019-04-26 09:12:59   |   作者:陆玲   |   浏览次数:

近日,官方发布了多个关于Oracle WebLogic的安全漏洞隐患通报。现将相关情况通报如下:

一、漏洞情况

2019416日,Oracle官方发布了安全公告,包含了其家族Fusion MiddlewareFinancial Services ApplicationsRetail ApplicationsMySQL等多个产品的安全漏洞公告。涉及Oracle WebLogic Server核心组件WLSEJB Container,恶意攻击者可以通过调用HTTPT3协议攻击默认监听的7001端口,通过漏洞利用工具,从而实现远程代码执行效果。

对应CVE编号:CVE-2019-2658CVE-2019-2646CVE-2019-2645等,漏洞公告链接:

https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html

此次更新CVE列表:

https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html


其他漏洞信息,请参考Oracle历史安全公告列表:

https://www.oracle.com/technetwork/topics/security/alerts-086861.html

2019417日,中国国家信息安全漏洞共享平台(CNVD)发布了关于Oracle WebLogic wls9-async组件存在反序列化远程命令执行漏洞的安全公告(CNVD-C-2019-48814),部分版本WebLogic Server中默认包含的wls9_async_response.warwls-wsat.war存在反序列化远程命令执行漏洞。通过该漏洞,恶意攻击者可以在未授权的情况下远程执行命令,漏洞公告链接:

http://www.cnvd.org.cn/webinfo/show/4989

该漏洞目前厂商暂未发布补丁。

二、影响范围

WebLogic远程代码执行漏洞CVE-2019-2646CVE-2019-2645影响以下版本:

Oracle WebLogic Server 10.3.6.0.0版本,

Oracle WebLogic Server 12.1.3.0.0版本,

Oracle WebLogic Server 12.2.1.3.0版本;

WebLogic远程代码执行漏洞CNVD-C-2019-48814影响以下版本:

WebLogic 10.X

WebLogic 12.1.3

三、修复建议

高危:预计网上很快会有该远程代码执行漏洞的POC,建议尽快升级软件和使用连接筛选器临时拒绝T3/T3s协议。

建议尽快安装安全更新补丁(可以使用BSU智能更新)或使用连接筛选器临时阻止外部访问7001端口的T3/T3s协议:

连接筛选器:weblogic.security.net.ConnectionFilterImpl

规则示例:

0.0.0.0/0 * 7001 deny t3 t3s#拒绝所有访问

允许和拒绝指定IP规则示例:- 4 -


192.168.1.0/24 * 7001 allow t3 t3s#允许指定IP段访问

192.168.2.0/24 * 7001 deny t3 t3s#拒绝指定IP段访问

连接筛选器说明参考:

https://docs.oracle.com/cd/E24329_01/web.1211/e24485/con_filtr.htm#SCPRG377

CNVD-C-2019-48814漏洞临时缓解措施:

查找并删除wls9_async_response.warwls-wsat.war,然后重启Weblogic服务;限制访问/_async/*/wls-wsat/*路径。