服务公告
Oracle WebLogic远程代码执行漏洞预警
2021-07-21
一、概要
近日,华为云关注到Oracle官方发布了2021年第三季度安全补丁更新公告,披露了多款旗下产品的安全漏洞,其中包括7个Weblogic相关漏洞(CVE-2021-2394,CVE-2021-2397,CVE-2021-2382,CVE-2021-2378,CVE-2021-2376,CVE-2015-0254,CVE-2021-2403),其中CVE-2021-2394,CVE-2021-2397,CVE-2021-2382高危漏洞和IIOP、T3协议有关,攻击者通过发送构造恶意的请求可实现远程代码执行。
华为云提醒使用Weblogic及Oracle相关产品的用户及时安排自检并做好安全加固。
参考链接:Oracle Critical Patch Update Advisory - July 2021
本次Oracle季度安全更新共涉及342个安全漏洞,除Oracle Weblogic外,还包括Oracle WebCenter Portal、Oracle BI Publisher 、Oracle Data Integrator等产品,具体漏洞信息请参考官方链接。
二、漏洞级别
漏洞级别:【严重】
(说明:漏洞级别共四级:一般、重要、严重、紧急)
三、Weblogic漏洞说明详情
CVE编号 |
影响组件 |
严重程度 |
受影响版本 |
CVE-2021-2394 |
Core |
严重 |
10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2021-2397 |
Core |
严重 |
10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2021-2382 |
Security |
严重 |
10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2021-2378 |
Core |
重要 |
10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2021-2376 |
Web Services |
重要 |
10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
CVE-2015-0254 |
Third Party Tools (Apache Standard Taglibs) |
重要 |
10.3.6.0.0, 12.1.3.0.0 |
CVE-2021-2403 |
Core |
一般 |
10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 |
(注:以上为weblogic漏洞,其他漏洞及详情请参见Oracle官方说明)
四、漏洞影响范围
Oracle Weblogic、Oracle WebCenter Portal、Oracle BI Publisher 、 Oracle Data Integrator等产品。
五、安全建议
官方已发布安全补丁更新,需用户持有正版软件的许可账号,登陆https://support.oracle.com后,下载最新补丁。
若无法及时更新的用户,可根据Oracle官方提供的修复建议通过取消攻击所需的网络协议或权限进行缓解。
Weblogic高危漏洞(CVE-2021-2394、CVE-2021-2397、CVE-2021-2382)可通过禁用T3、IIOP协议来对漏洞进行缓解。
注意:修复漏洞前请将资料备份,并进行充分测试。