威胁研究正文

WebLogic多个组件高危漏洞安全风险通告

2021-07-21 02:14:08

此次修复的漏洞中包括 7 个和 Weblogic 相关的漏洞,这些漏洞无需身份验证即可通过网络进行远程利用:CVE-2021-2394、CVE-2021-2397、CVE-2021-2382、CVE-2021-2376、CVE-2021-2378、CVE-2015-0254、CVE-2021-2403。腾讯安全专家建议受影响的版本尽快升级到最新版本,Weblogic 高危漏洞危害极大,多年来一直是网络黑产最偏爱的漏洞攻击武器。

Oracle官方发布了20217月的关键补丁程序更新,涉及旗下多款产品(Weblogic Server、Database Server、Java SE、MySQL等)的 342 个漏洞。

 

此次修复的漏洞中包括 7 个和 Weblogic 相关的漏洞,这些漏洞无需身份验证即可通过网络进行远程利用:CVE-2021-2394CVE-2021-2397CVE-2021-2382CVE-2021-2376CVE-2021-2378CVE-2015-0254CVE-2021-2403

 

腾讯安全专家建议受影响的版本尽快升级到最新版本,Weblogic 高危漏洞危害极大,多年来一直是网络黑产最偏爱的漏洞攻击武器。

 

Oracle WebLogic Server是美国甲骨文(Oracle)公司的一款适用于云环境和传统环境的应用服务中间件,WebLogic 是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用。

 

漏洞描述: 

CVE-2021-2394

该漏洞允许未经身份验证的攻击者通过 T3、IIOP 访问网络来破坏 Oracle WebLogic Server。成功攻击此漏洞可能会导致 Oracle WebLogic Server 被接管。

 

CVSS评分:9.8,危害等级:严重

 

CVE-2021-2397

该漏洞允许未经身份验证的攻击者通过 T3、IIOP 访问网络来破坏 Oracle WebLogic Server。成功攻击此漏洞可能会导致 Oracle WebLogic Server 被接管。

 

CVSS评分:9.8,危害等级:严重

 

CVE-2021-2382

该漏洞允许未经身份验证的攻击者通过 T3、IIOP 访问网络来破坏 Oracle WebLogic Server。成功攻击此漏洞可能会导致 Oracle WebLogic Server 被接管。

 

CVSS评分:9.8,危害等级:严重

 

CVE-2021-2378

该漏洞允许未经身份验证的攻击者通过 T3、IIOP 访问网络来破坏 Oracle WebLogic Server。成功攻击此漏洞可导致未经授权导致 Oracle WebLogic Server 挂起或频繁重复崩溃(完全 DOS)。

 

CVSS评分:7.5,危害等级:高危

 

CVE-2021-2376

该漏洞允许未经身份验证的攻击者通过 T3、IIOP 访问网络来破坏 Oracle WebLogic Server。成功攻击此漏洞可导致未经授权导致 Oracle WebLogic Server 挂起或频繁重复崩溃(完全 DOS)。

 

CVSS评分:7.5,危害等级:高危

 

CVE-2015-0254

该漏洞由第三方工具(Apache Standard Taglibs)引起。1.2.3 版本之前的 Apache Standard Taglibs允许远程攻击者执行任意代码或进行外部 xm l 实体 (XXE) 攻击。

 

CVSS评分:7.3,危害等级:高危

 

CVE-2021-2403

该漏洞允许未经身份验证的攻击者通过 HTTP 访问网络来破坏 Oracle WebLogic Server。成功攻击此漏洞可能会导致对 Oracle WebLogic Server 可访问数据的子集进行未经授权的读取访问。

 

CVSS评分:5.3,危害等级:中危

 

受影响的版本:

Weblogic Server 10.3.6.0.0

Weblogic Server 12.1.3.0.0

Weblogic Server 12.2.1.3.0

Weblogic Server 12.2.1.4.0

Weblogic Server 14.1.1.0.0

 

漏洞修复建议:

腾讯安全专家建议所有受影响的用户参考Oracle官方更新的补丁及时修补。

https://www.oracle.com/security-alerts/cpujul2021.html

 

临时修补建议:

如果不依赖 T3协议进行 JVM通信,可禁用 T3协议。如果不依赖 IIOP协议进行 JVM通信,可禁用 IIOP协议。


扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。



在线咨询