广东“数字政府”云平台安全风险预警通告
Weblogic安全漏洞预警通告
【风险名称】
Oracle WebLogic服务器多个高危安全漏洞预警(编号如下)
CVE-2019-2658:严重
CVE-2019-2646:严重
CVE-2019-2645:严重
CVE-2019-1258:高危
CVE-2019-2647:高危
CVE-2019-2648:高危
CVE-2019-2649:高危
CVE-2019-2650:高危
CVE-2019-2618:中危
CVE-2019-2568:中危
CVE-2019-2615:中危
【风险等级】
高
【风险概述】
2019年4月17日,数字广东安全团队监测到Oracle官方发布安全公告,披露WebLogic服务器存在多个高危漏洞,包括远程代码执行、任意文件上传、反序列化等。黑客利用漏洞可能可以远程获取WebLogic服务器权限,风险较大。
【影响版本】
相关版本:
WebLogic 10.3.6.0.0
WebLogic 12.1.3.0.0
WebLogic 12.2.1.3.0
相关组件:
WLS Core Components
WLS Core Components (Spring Framework)
WLS - Web Services
EJB Container
【漏洞排查】
查看版本号是否在受影响的范围内,参考命令如下:
1、查看linux下安装的weblogic的版本:
进入weblogic安装的/bea/logs/目录下,查看log文件,如下:
[root@crm-proxy02 logs]# cd /opt/bea/logs/
[root@crm-proxy02 logs]# cat log.txt
Sep24,2009 1:08:31PM--install"WebLogicPlatform" 9.1.0.0 at/opt/bea/weblogic91
release 9.1.0.0 [Added]
|_____WebLogic Server [Added]
|_____Server [Added]
|_____Server Examples [Added]
2、也可执行以下脚本进行排查(将以下脚本复制到本地),脚本的执行依赖request:
【处置建议】
1)升级补丁,Oracle官方更新链接地址:
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html
2)如果您不依赖T3协议进行JVM通信,可通过暂时阻断T3协议缓解此漏洞带来 的影响。操作方法如下:
进入Weblogic控制台,在base_domain配置页面中,进入“安全”选项卡页面,点击“筛选器”,配置筛选器。在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入:* * 7001 deny t3 t3s。保存并重启生效。
3)排查Weblogic管理后台是否存在弱口令,增强密码强度。密码需满足长度至少8位,包含大小写字母、数字、符号的三种,且不使用Digitalgd@123等可猜解密码;