logo

中文|English|客服热线:4008107766

售后服务
4008107766
当前位置:首页 > 新闻中心 > 企业新闻
企业新闻

WebLogic远程Blind XXE高危漏洞,网御星云提供解决方案

时间:2019-04-18
WebLogic是Oracle公司出品的一个基于Java EE架构的中间件,一般应用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。

2019年4月17日,Oracle官方发布4月份安全补丁,补丁中包含集团ADLab发现并第一时间提交给Oracle官方的WebLogic Blind XXE漏洞,漏洞编号为CVE-2019-2647。利用该漏洞,攻击者可以在未授权的情况下将payload封装在T3协议中,通过对T3协议中的payload进行反序列化,从而实现对存在漏洞的WebLogic组件进行远程Blind XXE攻击。该漏洞影响范围广泛,建议广大用户及时采取应对措施,以免遭受黑客攻击。

详细内容可参考ADLab分析:https://mp.weixin.qq.com/s/ded-kzmApHk_EsJakeSwpg

漏洞影响版本

WebLogic 10.3.6.0
WebLogic 12.1.3.0
WebLogic 12.2.1.2
WebLogic 12.2.1.3

漏洞验证

测试环境:
WebLogic Server 10.3.6.0
(打补p28343311_1036_Generic)

漏洞利用效果:


解决方案

 官方建议

1.升级补丁:
Oracle官方更新链接地址:https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html。

2.控制T3协议的访问:
WebLogic Blind XXE漏洞产生于WebLogic的T3服务,因此可通过控制T3协议的访问来临时阻断针对该漏洞的攻击。当开放WebLogic控制台端口(默认为7001端口)时,T3服务会默认开启。

(1)进入WebLogic控制台,在base_domain配置页面中,进入安全选项卡页面,点击筛选器,配置筛选器。
(2)在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl在连接筛选器规则中输入:127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s(t3和t3s协议的所有端口只允许本地访问)。
(3)保存后需重新启动,规则方可生效。

 
 漏洞扫描

网御漏洞扫描系统V6.0于2019年4月18日紧急发布针对该漏洞的升级包,支持对该漏洞进行检测,用户升级网御漏洞扫描系统漏洞库后即可对该漏洞进行扫描。升级包获取方式:

1.拨打网御星云客服电话4008107766获取升级包;
2.联系网御星云当地客户代表获取升级包。

请使用网御漏洞扫描系统V6.0产品的用户尽快升级到最新版本,及时对该漏洞进行检测,以便尽快采取防范措施。


 产品检测与防护

已部署网御星云IDS、IPS、WAF产品的客户请确认如下事件规则已经下发并应用,即可有效检测或阻断攻击。

HTTP_Weblogic_任意文件读取漏洞[CVE-2019-2615]
HTTP_WebLogic_任意文件上传漏洞[CVE-2019-2618]
HTTP_WebLogic_Blind_XXE注入漏洞[CVE-2019-2647]
关于我们
公司简介
合作伙伴
核心技术
团队风采
推荐型号
安全接入防护设备
服务与下载
支持与服务
在线升级
联系我们
二维码