近日,我中心技术支持单位监测发现Oracle WebLogic Server存在 XXE(XML外部实体注入)漏洞,攻击者可在未授权情况下对目标系统发起 XML 外部实体注入攻击。
一、漏洞情况
Oracle WebLogic Server是基础中间件中的融合中间件服务,成功利用该漏洞的攻击者可在未授权情况下对目标系统发起 XML 外部实体注入攻击。成功利用该漏洞需目标开启T3或IIOP协议,目标接收到攻击者恶意构造的数据进行反序列化并触发 loadxml,服务器远程加载恶意 dtd 文件同时解析,造成 XML外部实体注入。
二、影响范围
WebLogic 10.3.6.0.0;
WebLogic 12.1.3.0.0;
WebLogic 12.2.1.3.0;
WebLogic 12.2.1.4.0;
WebLogic 14.1.1.0.0。
三、处置建议
(一)Oracle官方暂未发布相关修复补丁,请各单位及时关注Oracle官网进行更新修复。
(二)临时解决方案:建议用户禁用 T3 IIOP 协议。
1.禁用 T3
进入 WebLogic 控制台,在 base_domain 配置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。
2.禁用 IIOP
用户通过关闭 IIOP 协议阻断针对利用 IIOP 协议漏洞的攻击,操作如下:
(1)在 WebLogic 控制台中,选择“服务”->”AdminServer”->”协议”;
(2)取消“启用 IIOP”的勾选;
(3)重启 WebLogic 项目,使配置生效。
请广大用户及时自查并修复漏洞。
附件:参考链接:https://www.oracle.com/