99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源

WebLogic多個高危漏洞安全風(fēng)險通告

發(fā)布日期：2021-7-22

漏洞描述

2021年7月22日，監(jiān)測到Oracle官方發(fā)布了2021年7月關(guān)鍵補(bǔ)丁更新公告CPU（Critical Patch Update），共修復(fù)了342個不同程度的漏洞，其中包括3個影響WebLogic的嚴(yán)重漏洞，利用復(fù)雜度低，建議用戶盡快采取措施，對此次的漏洞進(jìn)行防護(hù)。

CVE-2021-2382/CVE-2021-2394/CVE-2021-2397：未經(jīng)身份驗證的攻擊者發(fā)送惡意構(gòu)造的T3或IIOP協(xié)議請求，可在目標(biāo)服務(wù)器上執(zhí)行任意代碼，CVSS評分為9.8。

CVE-2021-2376/CVE-2021-2378：未經(jīng)身份驗證的攻擊者通過T3或IIOP協(xié)議發(fā)送惡意請求，可造成目標(biāo)服務(wù)器掛起或崩潰，CVSS評分為7.5。

CVE-2015-0254：此漏洞存在于Apache Standard Taglibs中，當(dāng)應(yīng)用程序使用 <x:parse> 或 <x:transform> 標(biāo)簽處理不受信任的XML文檔時，1.2.3版本之前的 Apache Standard Taglibs允許遠(yuǎn)程攻擊者利用XSLT 擴(kuò)展執(zhí)行任意代碼或進(jìn)行XML外部實體注入(XXE) 攻擊，CVSS評分為7.3。

CVE-2021-2403：未經(jīng)身份驗證的攻擊者可以通過HTTP發(fā)送惡意請求，未授權(quán)訪問目標(biāo)服務(wù)器的某些數(shù)據(jù)，CVSS評分為5.3。

漏洞編號

CVE-2021-2382/CVE-2021-2394/CVE-2021-2397

漏洞危害

攻擊者利用此類漏洞，可實現(xiàn)遠(yuǎn)程代碼執(zhí)行、拒絕服務(wù)等。

漏洞等級

高危

受影響版本

WebLogic Server 10.3.6.0.0

WebLogic Server 12.1.3.0.0

WebLogic Server 12.2.1.3.0

WebLogic Server 12.2.1.4.0

WebLogic Server 14.1.1.0.0

修復(fù)方案

1.補(bǔ)丁更新

Oracle目前已發(fā)布補(bǔ)丁修復(fù)了上述漏洞，請用戶參考官方通告及時下載受影響產(chǎn)品更新補(bǔ)丁，并參照補(bǔ)丁安裝包中的readme文件進(jìn)行安裝更新，以保證長期有效的防護(hù)。

注：Oracle官方補(bǔ)丁需要用戶持有正版軟件的許可賬號，使用該賬號登陸https://support.oracle.com后，可以下載最新補(bǔ)丁。

2.臨時緩解措施

如果用戶暫時無法安裝更新補(bǔ)丁，可通過下列措施對漏洞進(jìn)行臨時防護(hù)：

(1)限制T3協(xié)議訪問

用戶可通過控制T3協(xié)議的訪問來臨時阻斷針對利用T3協(xié)議漏洞的攻擊。WebLogic Server 提供了名為 weblogic.security.net.ConnectionFilterImpl 的默認(rèn)連接篩選器，此連接篩選器接受所有傳入連接，可通過此連接篩選器配置規(guī)則，對T3及T3s協(xié)議進(jìn)行訪問控制。

(2)禁用IIOP協(xié)議

用戶可通過關(guān)閉IIOP協(xié)議阻斷針對利用IIOP協(xié)議漏洞的攻擊。

參考鏈接

https://www.oracle.com/security-alerts/cpujul2021.html#AppendixFMW