• 我的位置:
  • 首頁
  • -
  • 漏洞預警
  • -
  • 數(shù)據(jù)庫
  • -
    • WebLogic XML外部實體注入漏洞
    • CNNVD編號:未知
    • 危害等級: 高危 
    • CVE編號:未知
    • 漏洞類型: XXE
    • 威脅類型:未知
    • 廠       商:未知
    • 漏洞來源:深信服
    • 發(fā)布時間:2021-01-05
    • 更新時間:2021-01-13

    漏洞簡介

    1、WebLogic介紹

    WebLogic是美國Oracle公司出品的一個application server,確切的說是一個基于JAVAEE架構的中間件,WebLogic是用于開發(fā)、集成、部署和管理大型分布式Web應用、網絡應用和數(shù)據(jù)庫應用的Java應用服務器。

    將Java的動態(tài)功能和Java Enterprise標準的安全性引入大型網絡應用的開發(fā)、集成、部署和管理之中。WebLogic是商業(yè)市場上主要的Java(J2EE)應用服務器軟件(application server)之一,是世界上第一個成功商業(yè)化的J2EE應用服務器,具有可擴展性,快速開發(fā),靈活,可靠性等優(yōu)勢。

    2、漏洞描述

    近日,深信服安全團隊監(jiān)控到WebLogic XML外部實體注入漏洞的消息,受害者服務器在開啟T3或IIOP協(xié)議和目標可出網的條件下,攻擊者通過構造惡意數(shù)據(jù)發(fā)起XML外部實體注入攻擊,服務器接收惡意數(shù)據(jù)會進行反序列化操作,觸發(fā)loadxml,加載解析惡意dtd文件,造成危害。

    漏洞公示

    暫無

    參考網站

    暫無

    受影響實體

    目前受影響的WebLogic版本:

    WebLogic Server 10.3.6.0.0

    WebLogic Server 12.1.3.0.0

    WebLogic Server 12.2.1.3.0

    WebLogic Server 12.2.1.4.0

    WebLogic Server 14.1.1.0.0

    補丁

    1、官方修復方案

    當前官方暫未發(fā)布受影響版本對應補丁,建議受影響的客戶持續(xù)關注官方最新公告:

    https://www.oracle.com/java/weblogic/

    2、臨時修復方案

    1.可通過關閉IIOP協(xié)議對此漏洞進行臨時防御。操作如下:

    在Weblogic控制臺中,選擇“服務”->”AdminServer”->”協(xié)議”,取消“啟用IIOP”的勾選。并重啟Weblogic項目,使配置生效。


    2.對T3服務進行控制

    控制T3服務的方法:


    在上圖這個WebLogic界面中選擇安全-篩選器,在下方出現(xiàn)的界面中找到“連接篩選器”,在里面輸入

    security.net.ConnectionFilterImpl

    然后在連接篩選器規(guī)則中輸入

    127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s

    最后保存并重啟服務器即可生效。