【安全通告】2022年1月Oracle重要补丁更新 - Weblogic多个高危漏洞风险通告

漏洞速览

腾讯云安全运营中心监测到， Oracle发布了2022年1月的安全更新补丁，包含Oracle产品系列中的497个新安全补丁。此次更新涉及Oracle WebLogic Server多个高危漏洞，包括CVE-2022-21306,CVE-2022-21292,CVE-2022-21371等。建议及时安装此补丁更新，和此公告中的其他补丁。

漏洞概述 

WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。

此次Oracle Weblogic Server补丁中以下漏洞危害较大，需重点关注：

CVE-2022-21306（WebLogic Server远程代码执行漏洞）:

CVSS评分9.8，攻击者可以在未经过身份验证的情况下，通过T3协议远程执行任意代码。

CVE-2022-21292（WebLogic Server信息泄漏漏洞）：

CVSS评分7.5，可造成敏感信息泄漏等危害。

CVE-2022-21371（WebLogic Server信息泄漏漏洞）：

CVSS评分7.5，可造成敏感信息泄漏等危害。

风险等级                    

高

攻击者利用该漏洞可导致远程执行任意代码等危害

影响版本

CVE-2022-21306:

Oracle Weblogic 12.1.3.0.0,

Oracle Weblogic 12.2.1.3.0,

Oracle Weblogic 12.2.1.4.0,

Oracle Weblogic 14.1.1.0.0

CVE-2022-21292：

Oracle Weblogic 12.2.1.4.0,

Oracle Weblogic 14.1.1.0.0

CVE-2022-21371：

Oracle Weblogic 12.1.3.0.0,

Oracle Weblogic 12.2.1.3.0,

Oracle Weblogic 12.2.1.4.0,

Oracle Weblogic 14.1.1.0.0

安全版本

Oracle 发布的2022年1月最新安全补丁

修复建议

官方已发布漏洞修复更新，腾讯云安全建议您及时更新相关官方补丁避免安全风险。

其他临时缓解措施：

如非必要使用，建议禁止T3及IIOP协议的开启：

• 禁用T3协议（如果不依赖T3协议进行JVM通信，可通过暂时阻断T3协议缓解此漏洞带来的影响）：

1. 进入Weblogic控制台，在base_domain配置页面中打开“安全”选项卡页面，点击“筛选器”，配置筛选器。

2. 在连接筛选器中输入：weblogic.security.net.ConnectionFilterImpl，可参考以下写法在连接筛选器规则框中输入：

白名单IP * * allow t3 t3s* * * deny t3 t3s

• 禁止启用IIOP（如果不使用该协议，可通过关闭IIOP协议阻断针对利用该协议的漏洞攻击）：

登陆Weblogic控制台，找到启用IIOP选项，取消“启用IIOP”勾选，重启生效。

• 临时关闭后台/console/console.portal对外访问

【备注】：建议您在升级前做好数据备份工作，避免出现意外

参考链接

• https://www.oracle.com/security-alerts/cpujan2022.htm