服务公告

全部公告 > 安全公告 > Oracle WebLogic远程代码执行漏洞预警

Oracle WebLogic远程代码执行漏洞预警

2021-07-21

一、概要

近日,华为云关注到Oracle官方发布了2021年第三季度安全补丁更新公告,披露了多款旗下产品的安全漏洞,其中包括7个Weblogic相关漏洞(CVE-2021-2394,CVE-2021-2397,CVE-2021-2382,CVE-2021-2378,CVE-2021-2376,CVE-2015-0254,CVE-2021-2403),其中CVE-2021-2394,CVE-2021-2397,CVE-2021-2382高危漏洞和IIOP、T3协议有关,攻击者通过发送构造恶意的请求可实现远程代码执行。

华为云提醒使用Weblogic及Oracle相关产品的用户及时安排自检并做好安全加固。

参考链接:Oracle Critical Patch Update Advisory - July 2021

本次Oracle季度安全更新共涉及342个安全漏洞,除Oracle Weblogic外,还包括Oracle WebCenter Portal、Oracle BI Publisher 、Oracle Data Integrator等产品,具体漏洞信息请参考官方链接。

二、漏洞级别

漏洞级别:【严重】

(说明:漏洞级别共四级:一般、重要、严重、紧急)

三、Weblogic漏洞说明详情

CVE编号

影响组件

严重程度

受影响版本

CVE-2021-2394

Core

严重

10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

CVE-2021-2397

Core

严重

10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

CVE-2021-2382

Security

严重

10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

CVE-2021-2378

Core

重要

10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

CVE-2021-2376

Web Services

重要

10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

CVE-2015-0254

Third Party Tools (Apache Standard Taglibs)

重要

10.3.6.0.0, 12.1.3.0.0

CVE-2021-2403

Core

一般

10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0

(注:以上为weblogic漏洞,其他漏洞及详情请参见Oracle官方说明) 

四、漏洞影响范围

Oracle Weblogic、Oracle WebCenter Portal、Oracle BI Publisher 、 Oracle Data Integrator等产品。

五、安全建议

官方已发布安全补丁更新,需用户持有正版软件的许可账号,登陆https://support.oracle.com后,下载最新补丁。

若无法及时更新的用户,可根据Oracle官方提供的修复建议通过取消攻击所需的网络协议或权限进行缓解。

Weblogic高危漏洞(CVE-2021-2394、CVE-2021-2397、CVE-2021-2382)可通过禁用T3、IIOP协议来对漏洞进行缓解。

注意:修复漏洞前请将资料备份,并进行充分测试。