功夫:2022-01-27 作者:ca88登陆平台CERT

ca88登陆平台CERT
致力于第一功夫为企业级用户提供安全风险公告和有效解决规划。。。。。。。。
Oracle官方颁布了2022年1月的关键安全补丁集中更新CPU(CriticalPatchUpdate),,,,,,,建复了多个存在于WebLogic中的缝隙蕴含CVE-2022-21306、CVE-2022-21292、CVE-2022-21371、CVE-2022-21252、CVE-2022-21347、CVE-2022-21350、CVE-2022-21353,,,,,,,其中CVE-2022-21347由ca88登陆平台观星尝试室安全钻研员提交。。。。。。。。
经过技术研判,,,,,,,ca88登陆平台CERT以为CVE-2022-21306(OracleWebLogicServer远程代码执行缝隙)缝隙利用限度较少,,,,,,,影响较为严沉。。。。。。。。鉴于缝隙风险性较大,,,,,,,ca88登陆平台CERT建议客户尽快利用本次关键安全补丁集中(CPU)。。。。。。。。
本次更新内容:
CVE-2022-21350缝隙细节公开状态
当前缝隙状态
缝霞述
Oracle官方颁布了2022年1月的关键补丁法式更新CPU(CriticalPatchUpdate),,,,,,,其中建复了多个存在于WebLogic中的缝隙。。。。。。。。
值得关注的缝隙如下:
1.CVE-2022-21306(OracleWebLogicServer远程代码执行缝隙)
攻击者能够在未授权的情况下通过T3和谈对存在缝隙的OracleWebLogicServer组件进行攻击。。。。。。。。成功利用该缝隙的攻击者能够收受OracleWebLogicServer。。。。。。。。
2.CVE-2022-21292、CVE-2022-21371(OracleWebLogicServer信息泄漏缝隙)
未经身份验证的攻击者可通过HTTP和谈对存在缝隙的OracleWebLogicServer组件进行攻击。。。。。。。。成功利用该缝隙可能导致对关键数据的犯法接见或对所有OracleWebLogicServer可接见数据的齐全接见,,,,,,,造成敏感信息泄露。。。。。。。。
风险等级
ca88登陆平台CERT风险评级为:高危
风险等级:蓝色(通常事务)
影响领域
措置建议
请参考以下链接尽快建复:
https://www.oracle.com/security-alerts/cpujul2022.html
OracleWebLogicServer升级方式
1.OracleWebLogicServer11g:
bsu.cmd-install-patch_download_dir=C:\Oracle\Middleware\utils\bsu\cache_dir-patchlist=3L3H-prod_dir=C:\Oracle\Middleware\wlserver_10.3

出现以上提醒代表补丁装置成功。。。。。。。。
2.OracleWebLogicServer12c:
使用opatchapply装置补丁
C:\Oracle\Middleware\Oracle_Home\OPatch>opatchapply本机补丁地址


注:补丁编号依照请自行更改为新补丁编号。。。。。。。。
若非必须开启,,,,,,,请禁用T3和IIOP和谈。。。。。。。。
禁用T3IIOP和谈具体操作步骤如下:
1.禁用T3:
进入WebLogic节造台,,,,,,,在base_domain的配置页面中,,,,,,,进入“安全”选项卡页面,,,,,,,点击“筛选器”,,,,,,,进入衔接筛选器配置。。。。。。。。

在衔接筛选器中输入:WebLogic.security.net.ConnectionFilterImpl,,,,,,,参考以下写法,,,,,,,在衔接筛选器规定中配置切合企业现实情况的规定:
127.0.0.1**allowt3t3s本机IP**allowt3t3s允许接见的IP**allowt3t3s***denyt3t3s

衔接筛选器规定体式如下:targetlocalAddresslocalPortactionprotocols,,,,,,,其中:
target指定一个或多个要筛选的服务器。。。。。。。。
localAddress可界说服务器的主机地址。。。。。。。。(若是指定为一个星号(*),,,,,,,则返回的匹配了局将是所有本地IP地址。。。。。。。。)
localPort界说服务器在监听的端口。。。。。。。。(若是指定了星号,,,,,,,则匹配返回的了局将是服务器上所有可用的端口)。。。。。。。。
action指定要执行的操作。。。。。。。。(值必须为“allow”或“deny”。。。。。。。。)
protocols是要进行匹配的和谈名列表。。。。。。。。(必须指定下列其中一个和谈:http、https、t3、t3s、giop、giops、dcom或ftp。。。。。。。。)若是未界说和谈,,,,,,,则所有和谈都将与一个规定匹配。。。。。。。。
保留后若规定未生效,,,,,,,建议沉新启动WebLogic服务(沉启WebLogic服务会导致业务中断,,,,,,,建议有关人员评估风险后,,,,,,,再进行操作)。。。。。。。。以Windows环境为例,,,,,,,沉启服务的步骤如下:
进入域地点目录下的bin目录,,,,,,,在Windows系统中运行stopWebLogic.cmd文件终止WebLogic服务,,,,,,,Linux系统中则运行stopWebLogic.sh文件。。。。。。。。

待终止剧本执行实现后,,,,,,,再运行startWebLogic.cmd或startWebLogic.sh文件启动WebLogic,,,,,,,即可实现WebLogic服务沉启。。。。。。。。
2.禁用IIOP:
用户可通过关关IIOP和谈阻断针对利用IIOP和谈缝隙的攻击,,,,,,,操作如下:
在WebLogic节造台中,,,,,,,选择“服务”->”AdminServer”->”和谈”,,,,,,,取缔“启用IIOP”的勾选。。。。。。。。并沉启WebLogic项目,,,,,,,使配置生效。。。。。。。。

参考资料
[1]https://www.oracle.com/security-alerts/cpujan2022.html
功夫线
2022年1月19日,,,,,,,ca88登陆平台CERT颁布安全风险公告
2022年1月27日,,,,,,,ca88登陆平台CERT颁布安全风险公告第二次更新
到ca88登陆平台NOX-安全监测平台查问更多缝隙详情

ca88登陆平台CERT持久招募安全钻研员
旗下网站
关于ca88登陆平台
95015服务热线
微信公家号
立即拨打