- cnnvd编号:未知
- 危害等级: 高危
- cve编号:未知
- 漏洞类型: xxe
- 威胁类型:未知
- 厂 商:未知
- 漏洞来源:深信服
- 发布时间:2021-01-05
- 更新时间:2021-01-13
漏洞简介
1、weblogic介绍
weblogic是美国oracle公司出品的一个application server,确切的说是一个基于javaee架构的中间件,weblogic是用于开发、集成、部署和管理大型分布式web应用、网络应用和数据库应用的java应用服务器。
将java的动态功能和java enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。weblogic是商业市场上主要的java(j2ee)应用服务器软件(application server)之一,是世界上第一个成功商业化的j2ee应用服务器,具有可扩展性,快速开发,灵活,可靠性等优势。
2、漏洞描述
近日,深信服安全团队监控到weblogic xml外部实体注入漏洞的消息,受害者服务器在开启t3或iiop协议和目标可出网的条件下,攻击者通过构造恶意数据发起xml外部实体注入攻击,服务器接收恶意数据会进行反序列化操作,触发loadxml,加载解析恶意dtd文件,造成危害。
漏洞公示
参考网站
受影响实体
目前受影响的weblogic版本:
weblogic server 10.3.6.0.0
weblogic server 12.1.3.0.0
weblogic server 12.2.1.3.0
weblogic server 12.2.1.4.0
weblogic server 14.1.1.0.0
补丁
1、官方修复方案
当前官方暂未发布受影响版本对应补丁,建议受影响的客户持续关注官方最新公告:
2、临时修复方案
1.可通过关闭iiop协议对此漏洞进行临时防御。操作如下:
在weblogic控制台中,选择“服务”->”adminserver”->”协议”,取消“启用iiop”的勾选。并重启weblogic项目,使配置生效。
2.对t3服务进行控制
控制t3服务的方法:
在上图这个weblogic界面中选择安全-筛选器,在下方出现的界面中找到“连接筛选器”,在里面输入
security.net.connectionfilterimpl
然后在连接筛选器规则中输入
127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s
最后保存并重启服务器即可生效。