漏洞名稱:
Oracle WebLogic Server 4月安全更新
組件名稱:
Oracle WebLogic Server
安全公告鏈接:
https://www.oracle.com/security-alerts/cpuapr2022.html
漏洞分析
1組件介紹
WebLogic 是美國 Oracle 公司出品的一個 Application Server,確切地說是一個基於 JAVAEE 架構的中間件,是用於開發、集成、部署和管理大型分布式 Web 應用、網絡應用和數據庫應用的 Java 應用服務器。
WebLogic 將 Java 的動態功能和 Java Enterprise 標準的安全性引入大型網絡應用的開發、集成、部署和管理之中,是商業市場上主要的 Java(J2EE) 應用服務器軟件(Application Server)之一,是世界上第一個成功商業化的 J2EE 應用服務器,具有可擴展性、快速開發、靈活、可靠性等優勢。
2 漏洞描述
2022年4月20日,深信服安全團隊監測到 Oracle 官方發布安全補丁的通告,共發布了54個安全補丁,其中包括8個 WebLogic 組件重點漏洞,如下表。
3 嚴重漏洞描述
OracleWebLogicServer遠程代碼執行漏洞CVE-2022-23305
簡介:該漏洞為嚴重等級漏洞,攻擊者可以在未授權的情況下通過 HTTP 協議對存在漏洞的 Oracle WebLogic Server 組件進行攻擊,成功利用該漏洞的攻擊者可以接管Oracle WebLogic Server。
OracleWebLogicServer遠程代碼執行漏洞CVE-2022-21420
簡介:該漏洞為嚴重等級漏洞,攻擊者可以在未授權的情況下通過T3協議對存在漏洞的Oracle WebLogic Server組件進行攻擊,成功利用該漏洞的攻擊者可以接管Oracle WebLogic Server。
影響範圍
WebLogic 是用於開發、集成、部署和管理大型分布式Web 應用、網絡應用和數據庫應用的 Java 應用服務器,在全球範圍內有廣泛的使用。可能受漏洞影響的資產廣泛分布於世界各地,廣東、北京、上海等省市的受影響資產約占國內國內受影響資產的 70%。今年曝出的漏洞涉及用戶量多,導致漏洞影響力很大。
解決方案
1如何檢測組件系統版本
用戶可以通過進入 WebLogic 安裝主目錄下的 OPatch 目錄,在此處打開命令行,輸入 .\opatch lspatches 命令,結果如下:
如上圖試驗設備補丁號為 31656851。
2官方修復建議
當前官方已發布受影響版本的對應補丁,建議受影響的用戶及時更新官方的安全補丁。鏈接如下:
https://www.oracle.com/security-alerts/cpuapr2022.html
打補丁/升級方法:
2.1 10.3.6.0版本
步驟1 下載並解壓補丁包
本文檔下載的補丁鏈接如下:
https://updates.oracle.com/Orion/Services/download/p29204678_1036_Generic.zip?aru=22721223&patch_file=p29204678_1036_Generic.zip
由於 WebLogic 補丁在持續更新,請從官網(https://support.oracle.com)下載最新補丁(註:必須使用正版授權賬號登錄方可下載),具體下載方法可參考如下鏈接:http://blog.itpub.net/31394774/viewspace-2699573
下載後解壓到 C:\Oracle\Middleware\utils\bsu\cache_dir 目錄,下文中用表示。
步驟2 打補丁前建議閱讀README文檔
步驟3 停止weblogic服務
步驟4 安裝補丁
進入 C:\Oracle\Middleware\utils\bsu 目錄,執行以下命令:
註:補丁下載時通過補丁 ID 區分,即為補丁 ID,在 README 文件中也可查到。
安裝補丁時可能遇到兩種常見錯誤:
①提示內存溢出
報錯:Exception in thread "main" java.lang.OutOfMemoryError: Java heap space
解決方法:
打開 bsu.cmd 腳本,
將 MEM_ARGS="-Xms256m -Xmx512m"
改為 MEM_ARGS="-Xms1024m -Xmx2048m"或更大。
②提示補丁衝突
WebLogic補丁分為全量補丁和增量補丁,全量補丁安裝時會提示補丁衝突,只需卸載舊補丁後重新安裝即可,卸載命令如下:
舊補丁的補丁ID通過如下方法查看:
如圖,U5I2即為補丁ID。
步驟5 檢查補丁安裝情況
再次執行命令:
顯示新補丁 ID 則表示安裝成功。
步驟6 重啟WebLogic 服務
重啟WebLogic 服務,並驗證業務是否能夠正常使用。
2.2 12.2.1.3版本
步驟1 更新 Opatch 補丁升級工具
進入 C:\oracle\Middleware\Oracle_Home\OPatch 目錄,執行以下命令:
如圖,如果不是13.9.4.0. 0版本則需要先升級 Opatch 版本,否則直接進入步驟2。
Opatch 升級方法:
1、刪除舊版本 Opatch
進入 C:\oracle\Middleware\Oracle_Home 目錄,
重命名 OPatch、oracle_common、oui、inventory 四個目錄
2、下載並解壓安裝包
下載鏈接:
https://updates.oracle.com/Orion/Services/download/p28186730_139400_Generic.zip?aru=22731294&patch_file=p28186730_139400_Generic.zip
3、安裝Opatch
執行以下命令:
如果出現如下報錯,則切換到jdk安裝目錄的bin目錄下重新安裝即可
4、檢查安裝結果
OPatch、oracle_common、oui、inventory 四個目錄已經重新生成,
重新執行命令:
Opatch 版本變為 13.9.4。
步驟2 下載並解壓補丁包
本文檔下載的補丁鏈接如下:
https://updates.oracle.com/Orion/Services/download/p29016089_122130_Generic.zip?aru=22640288&patch_file=p29016089_122130_Generic.zip
由於 WebLogic 在持續更新,請從官網(https://support.oracle.com)下載最新補丁,具體下載方法可參考如下鏈接:http://blog.itpub.net/31394774/viewspace-2699573
下載後解壓到任意目錄。
步驟3 打補丁前建議閱讀 README 文檔
步驟4 停止WebLogic 服務
步驟5 安裝補丁
進入補丁包解壓目錄,執行以下命令:
步驟6 重啟WebLogic 服務
重啟 WebLogic 服務,並驗證業務是否能夠正常使用。
註:若補丁導致業務異常,使用如下命令進行回滾:
2.3 12.1.3.0版本
與 12.2.1.3 版本修複方法基本相同,只有使用的補丁包不同。
3臨時修復建議
該臨時修復建議存在一定風險,建議用戶可根據業務系統特性審慎選擇採用臨時修複方案:
1.可通過關閉 IIOP 協議對此漏洞進行臨時防禦。操作如下:
在 Weblogic 控制台中,選擇「服務」->」AdminServer」->」協議」,取消「啟用IIOP」的勾選。並重啟 Weblogic 項目,使配置生效。
2.對 T3 服務進行控制
控制 T3 服務的方法:
在上圖這個 WebLogic 界面中選擇安全-篩選器,在下方出現的界面中找到「連接篩選器」,在裡面輸入
然後在連接篩選器規則中輸入
最後保存並重啟服務器即可生效。
4深信服解決方案
1.安全監測
支持對 CVE-2022-21441、CVE-2022-21420的監測,可依據流量收集實時監控業務場景中的受影響資產情況,快速檢查受影響範圍,相關產品及服務如下:
【深信服安全感知管理平台SIP】已支持檢測該漏洞。
【深信服安全託管服務MSS】已支持檢測該漏洞。
2.安全防護
支持對CVE-2022-21441、CVE-2022-21420的防禦,可阻斷攻擊者針對該事件的入侵行為,相關產品及服務如下:
【深信服下一代防火牆AF】已支持防護該漏洞。
【深信服安全託管服務MSS】已支持防護該漏洞。
參考鏈接
https://www.oracle.com/security-alerts/cpuapr2022.html
時間軸
2022/4/20深信服監測到 Oracle 官方發布安全補丁。
2022/4/20深信服千里目安全實驗室發布漏洞通告。
點擊閱讀原文,及時關注並登錄深信服智安全平台,可輕鬆查詢漏洞相關解決方案。
深信服千里目安全實驗室
深信服科技旗下安全實驗室,致力於網絡安全攻防技術的研究和積累,深度洞察未知網絡安全威脅,解讀前沿安全技術。
●掃碼關注我們
留言列表