发布时间:2021-04-22 10:36:57,来源:奇安信、绿盟科技、深信服、北京天融信、奇虎科技
一、基本情况
近日,Oracle官方发布4月份安全补丁更新公告,修复了WebLogic Server,Business Intelligence Enterprise Edition等多款产品存在的390个漏洞,其中WebLogic Server存在多个高危漏洞,相应CVE编号:CVE-2021-2136、CVE-2021-2135、CVE-2021-2157。漏洞利用复杂度低,影响较大。建议受影响用户及时更新官方发布的安全补丁,做好资产自查以及预防工作,以免遭受黑客攻击。
二、 漏洞描述
Oracle WebLogic Server是Oracle的一款适用于云环境和传统环境的应用服务中间件,支持应用从开发到生产的整个生命周期管理。
1.CVE-2021-2136:未经身份验证的攻击者通过IIOP协议向目标WebLogic Server组件发送恶意请求,最终可接管服务器。
2.CVE-2021-2135:未经身份验证的攻击者通过T3或IIOP协议向目标WebLogic Server组件发送恶意请求,最终可接管服务器。
3.CVE-2021-2157:未经身份验证的攻击者可以通过HTTP向目标WebLogic Server组件发送恶意请求,实现对关键数据进行未授权访问。
三、 影响范围
WebLogic Server 12.1.3.0.0
WebLogic Server 12.2.1.3.0
WebLogic Server 12.2.1.4.0
WebLogic Server 14.1.1.0.0
WebLogic Server 10.3.6.0.0
四、 安全建议
1.官方修复建议:
Oracle官方已更新安全补丁,建议受影响用户尽快下载更新补丁并安装。
https://www.oracle.com/security-alerts/cpuapr2021.html
2.临时缓解措施:
如不依赖T3协议、IIOP协议进行JVM通信,可暂时通过阻断T3协议、IIOP协议缓解上述漏洞带来的影响。
五、 参考链接
https://www.oracle.com/security-alerts/cpuapr2021.html