一、漏洞概述
2023年4月19日,啟明星辰VSRC監測到Oracle發佈了4月安全更新,本次更新共包含433個新安全補丁,涉及Oracle 和第三方元件中的漏洞。
此次更新中共包含49個針對 Oracle 融合中介軟體的安全補丁,其中 44個漏洞無需身份驗證即可被遠端利用。其中影響Oracle WebLogic Server的部分漏洞如下:
CVE | 產品 | 涉及元件 | 協議 | 是否遠端利用 | CVSS評分 | 影響範圍 |
CVE-2023-24998 | Oracle WebLogic Server | Console (Apache Commons FileUpload) | HTTP | 是 | 7.5 | 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2023-21996 | Oracle WebLogic Server | Web Services | HTTP | 是 | 7.5 | 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2023-21931 | Oracle WebLogic Server | Core | T3 | 是 | 7.5 | 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2023-21964 | Oracle WebLogic Server | Core | T3 | 是 | 7.5 | 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2023-21979 | Oracle WebLogic Server | Core | T3 | 是 | 7.5 | 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2023-21956 | Oracle WebLogic Server | Web Container | HTTP | 是 | 6.1 | 12.2.1.4.0, 14.1.1.0.0 |
CVE-2023-21960 | Oracle WebLogic Server | Core | HTTP | 是 | 5.6 | 12.2.1.3.0, 12.2.1.4.0 |
CVE-2023-24998:Oracle WebLogic Server拒絕服務漏洞(高危)
Oracle WebLogic Server中使用的Apache Commons FileUpload版本1.5之前未限制要處理的請求部分的數量,導致可以通過惡意上傳或一系列上傳來觸發拒絕服務。
CVE-2023-21996:Oracle WebLogic Server拒絕服務漏洞(高危)
Oracle WebLogic Server (元件:Web Services)中存在漏洞,未經身份驗證的威脅者可以通過 HTTP 進行網路訪問來破壞 Oracle WebLogic Server,成功利用該漏洞可能導致Oracle WebLogic Server 掛起或頻繁重複的崩潰(完全DOS)。
CVE-2023-21931:Oracle WebLogic Server未授權訪問漏洞(高危)
Oracle WebLogic Server(元件:Core)中存在漏洞,未經身份驗證的威脅者可以通過 T3 進行網路訪問來破壞 Oracle WebLogic Server,成功利用該漏洞可能導致對關鍵資料的未授權訪問或對所有Oracle WebLogic Server可訪問資料的完全訪問。
CVE-2023-21964:Oracle WebLogic Server拒絕服務漏洞(高危)
Oracle WebLogic Server(元件:Core)中存在漏洞,未經身份驗證的威脅者可以通過 T3 進行網路訪問來破壞 Oracle WebLogic Server,成功利用該漏洞可能導致Oracle WebLogic Server 掛起或頻繁重複的崩潰(完全DOS)。
CVE-2023-21979:Oracle WebLogic Server Core未授權訪問漏洞(高危)
Oracle WebLogic Server(元件:Core)中存在漏洞,未經身份驗證的威脅者可以通過 T3 進行網路訪問來破壞 Oracle WebLogic Server,成功利用該漏洞可能導致對關鍵資料的未授權訪問或對所有Oracle WebLogic Server可訪問資料的完全訪問。
CVE-2023-21956:Oracle WebLogic Server未授權訪問漏洞(中危)
Oracle WebLogic Server(元件:Web Container)中存在漏洞,可在使用者互動的情況下利用該漏洞對某些 Oracle WebLogic Server 可訪問資料進行未經授權的更新、插入或刪除操作,以及對 Oracle WebLogic Server 可訪問資料的子集進行未經授權的讀取訪問。
CVE-2023-21960:Oracle WebLogic Server未授權訪問漏洞(中危)
Oracle WebLogic Serve(元件:Core)中存在漏洞,未經身份驗證的威脅者可以通過 HTTP 進行網路訪問來破壞 Oracle WebLogic Server,成功利用該漏洞(攻擊複雜度高)可能導致對某些 Oracle WebLogic Server 可訪問資料的未授權訪問或操作,以及拒絕服務等。
二、影響範圍
Oracle WebLogic Server版本:12.2.1.3.0
Oracle WebLogic Server版本:12.2.1.4.0
Oracle WebLogic Server版本:14.1.1.0.0
三、安全措施3.1 升級版本
目前Oracle已經發布了相關漏洞的補丁集合,受影響使用者可及時更新。
參考連結:
https://www.oracle.com/security-alerts/cpuapr2023.html
3.2 臨時措施
如非必要,可以選擇禁用T3 協議:
1)進入WebLogic控制檯,在base_domain的配置頁面中,進入「安全」選項卡頁面,點選「篩選器」,進入連接篩選器配置。
2)在連接篩選器中輸入:weblogic.security.net.ConnectionFilterImpl,在連接篩選器規則中輸入:127.0.0.1 * * allow t3t3s,0.0.0.0/0 * *deny t3 t3s(t3和t3s協議的所有埠只允許本地訪問)。
3)保存後需重新啟動,規則方可生效。
3.3 通用建議
定期更新系統補丁,減少系統漏洞,提升伺服器的安全性。
加強系統和網路的訪問控制,修改防火牆策略,關閉非必要的應用埠或服務,減少將危險服務(如SSH、RDP等)暴露到公網,減少攻擊面。
使用企業級安全產品,提升企業的網路安全性能。
加強系統使用者和許可權管理,啟用多因素認證機制和最小許可權原則,使用者和軟體許可權應保持在最低限度。
啟用強密碼策略並設置為定期修改。
3.4 參考連結
https://www.oracle.com/security-alerts/cpuapr2023.html
https://nvd.nist.gov/vuln/detail/CVE-2023-21931
