近日,Oracle 官方发布 4 月份安全补丁, 补丁中包含 WebLogic Blind XXE 漏洞,漏洞编号为 CVE-2019-2647。利用该漏洞,攻击者可以在未授权的情况下将 payload 封装在 T3 协议中,通过对 T3 协议中的 payload 进行反序列化,从而实现对存在漏洞的 WebLogic 组件进行远程 Blind XXE 攻击。
漏洞概述
WebLogic 是美国 Oracle 公司出品的一个 application server,确切的说是一个基于 JAVAEE 架构的中间件,WebLogic 是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用的 Java 应用服务器。将 Java 的动态功能和 Java Enterprise 标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 利用该漏洞,攻击者可以在未授权的情况下将 payload 封装在 T3 协议中,通过对 T3 协议中的 payload 进行反序列化,从而实现对存在漏洞的 WebLogic 组件进行远程 Blind XXE 攻击。
WebLogic 是美国 Oracle 公司出品的一个 application server,确切的说是一个基于 JAVAEE 架构的中间件,WebLogic 是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用的 Java 应用服务器。将 Java 的动态功能和 Java Enterprise 标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
利用该漏洞,攻击者可以在未授权的情况下将 payload 封装在 T3 协议中,通过对 T3 协议中的 payload 进行反序列化,从而实现对存在漏洞的 WebLogic 组件进行远程 Blind XXE 攻击。
漏洞危害
攻击者利用该漏洞,可实现远程 XXE 攻击。
受影响范围
WebLogic 10.3.6.0 WebLogic 12.1.3.0 WebLogic 12.2.1.2 WebLogic 12.2.1.3
WebLogic 10.3.6.0
WebLogic 12.1.3.0
WebLogic 12.2.1.2
WebLogic 12.2.1.3
修复建议
一、升级 Oracle 官方安全补丁。
二、控制 T3 协议的访问权限 WebLogic Blind XXE 漏洞产生于 WebLogic 的 T3 服务,因此可通过控制 T3 协议的访问来临时阻断针对该漏洞的攻击。当开放 WebLogic 控制台端口(默认为 7001 端口)时,T3 服务会默认开启。具体操作如下: 1 进入 WebLogic 控制台,在 base_domain 的配置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。 2 在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则中输入:127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s(t3 和 t3s 协议的所有端口只允许本地访问)。 3 保存后需重新启动,规则方可生效。
二、控制 T3 协议的访问权限
WebLogic Blind XXE 漏洞产生于 WebLogic 的 T3 服务,因此可通过控制 T3 协议的访问来临时阻断针对该漏洞的攻击。当开放 WebLogic 控制台端口(默认为 7001 端口)时,T3 服务会默认开启。具体操作如下:
1 进入 WebLogic 控制台,在 base_domain 的配置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。 2 在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则中输入:127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s(t3 和 t3s 协议的所有端口只允许本地访问)。 3 保存后需重新启动,规则方可生效。
1 进入 WebLogic 控制台,在 base_domain 的配置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。
2 在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则中输入:127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s(t3 和 t3s 协议的所有端口只允许本地访问)。
3 保存后需重新启动,规则方可生效。
技术支持:信息化建设管理处
校内备案号:JW备170019
地址:江苏省无锡市蠡湖大道1800号
邮编:214122
联系电话:0510-85326800(26800),85912032(82032)(网络报修)
服务邮箱:netser@jiangnan.edu.cn