weblogic xml外部实体注入漏洞
  • cnnvd编号:未知
  • 危害等级: 高危 
  • cve编号:未知
  • 漏洞类型: xxe
  • 威胁类型:未知
  • 厂       商:未知
  • 漏洞来源:深信服
  • 发布时间:2021-01-05
  • 更新时间:2021-01-13

漏洞简介

1、weblogic介绍

weblogic是美国oracle公司出品的一个application server,确切的说是一个基于javaee架构的中间件,weblogic是用于开发、集成、部署和管理大型分布式web应用、网络应用和数据库应用的java应用服务器。

将java的动态功能和java enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。weblogic是商业市场上主要的java(j2ee)应用服务器软件(application server)之一,是世界上第一个成功商业化的j2ee应用服务器,具有可扩展性,快速开发,灵活,可靠性等优势。

2、漏洞描述

近日,深信服安全团队监控到weblogic xml外部实体注入漏洞的消息,受害者服务器在开启t3或iiop协议和目标可出网的条件下,攻击者通过构造恶意数据发起xml外部实体注入攻击,服务器接收恶意数据会进行反序列化操作,触发loadxml,加载解析恶意dtd文件,造成危害。

漏洞公示

暂无

参考网站

暂无

受影响实体

目前受影响的weblogic版本:

weblogic server 10.3.6.0.0

weblogic server 12.1.3.0.0

weblogic server 12.2.1.3.0

weblogic server 12.2.1.4.0

weblogic server 14.1.1.0.0

补丁

1、官方修复方案

当前官方暂未发布受影响版本对应补丁,建议受影响的客户持续关注官方最新公告:

2、临时修复方案

1.可通过关闭iiop协议对此漏洞进行临时防御。操作如下:

在weblogic控制台中,选择“服务”->”adminserver”->”协议”,取消“启用iiop”的勾选。并重启weblogic项目,使配置生效。


2.对t3服务进行控制

控制t3服务的方法:


在上图这个weblogic界面中选择安全-筛选器,在下方出现的界面中找到“连接筛选器”,在里面输入

security.net.connectionfilterimpl

然后在连接筛选器规则中输入

127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s

最后保存并重启服务器即可生效。