跳转到帖子

游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

TheHackerWorld官方

漏洞风险提示 | WebLogic多个高危漏洞

贪恋你的美
贪恋你的美
交流中心

精选回复

发布于

## **事件源**

漏洞详细信息:[Oracle WebLogicforeignOpaqueReference T3/IIOP 反序列化漏洞(CVE-2023-21979)](https://stack.chaitin.com/vuldb/detail?id=1dad577c-ce20-41ef-9784-3e4a1d185978Oracle)

官方于4月19日发布了CPU关键补丁更新(Critical Patch Update),修复了Oracle WebLogic Server的多个高危漏洞:

[https://www.oracle.com/security-alerts/cpuapr2023.html](https://www.oracle.com/security-alerts/cpuapr2023.html)

## **漏洞描述**

此Oracle 安全更新修复了WebLogic 中的高严重性漏洞,包括:

| CVE 编号|受影响的组件|协议| CVSS 分数|

| --- | --- | --- | --- |

| CVE-2023-21996 |网络服务| HTTP | 7.5 | 7.5

| CVE-2023-21931 |核心| T3 | 7.5 | 7.5

| CVE-2023-21964 |核心| T3 | 7.5 | 7.5

| CVE-2023-21979 |核心| T3 | 7.5 | 7.5

| CVE-2023-21956 |网络容器| HTTP | 6.1 |

| CVE-2023-21960 |核心| HTTP | 5.6 | 5.6

其中,CVE-2023-21931和CVE-2023-21979是WebLogic Server T3和IIOP协议中的高危漏洞(Chaiting Technology技术人员已确认这两个漏洞不仅影响官方公告中描述的T3协议)。攻击者可以通过T3/IIOP协议交互在远程、未授权的状态下利用该漏洞,在服务器上执行任意恶意代码,获取系统权限。

CVE-2023-21996 是WebLogic Web 服务组件中的一个漏洞。攻击者可以通过HTTP协议交互,在未经授权的情况下远程利用这些漏洞。不过,目前还没有有关相关漏洞的公开详细信息。

### 远程检测工具:

复制链接:[https://stack.chaitin.com/tool/detail?id=1](https://stack.chaitin.com/tool/detail?id=1) 前往xray - CT Stack 安全社区下载最新版本的xray。

执行:/xray ss -m weblogic -t ip:port 进行扫描。需要注意的是,检测该漏洞需要配置反连接平台。

## **影响范围**

| CVE 编号|受影响的版本|

| --- | --- |

| CVE-2023-21996 | 12.2.1.3.0、12.2.1.4.0、14.1.1.0.0 |

| CVE-2023-21931 | 12.2.1.3.0、12.2.1.4.0、14.1.1.0.0 |

| CVE-2023-21964 | 12.2.1.3.0、12.2.1.4.0、14.1.1.0.0 |

| CVE-2023-21979 | 12.2.1.3.0、12.2.1.4.0、14.1.1.0.0 |

| CVE-2023-21956 | 12.2.1.4.0、14.1.1.0.0\t |

| CVE-2023-21960 | 12.2.1.3.0、12.2.1.4.0 |

## **解决方案**

使用Oracle官方安全补丁进行更新和修复:

[https://www.oracle.com/security-alerts/cpuapr2023.html](https://www.oracle.com/security-alerts/cpuapr2023.html)

另外,对于CVE-2023-21931和CVE-2023-21979这两个漏洞,用户需要更新Java版本才能完全修复(Java 8u191)。对于无法更新Java版本或漏洞补丁的用户,建议不要将WebLogic T3/IIOP协议服务暴露给不可信网络。如果确认不会影响业务,可以考虑配置WebLogic在外部禁用T3和IIOP协议。

**配置WebLogic外部禁用T3协议的具体步骤:**

登录WebLogic控制台,在对应的域设置中选择“安全”-“过滤器”选项卡:6440d76a0d2dde577751f1ef.png

在连接过滤器输入框中输入:

weblogic.security.net.ConnectionFilterImpl

在“连接过滤规则”输入框中输入(即配置为只允许本机使用T3/T3S协议通信,禁止除本机以外的其他主机使用T3/T3S协议通信):

`127.0.0.1 ** 允许t3 t3s`

`0.0.0.0/0 ** 拒绝t3 t3s`

输入后,保存并提交。

**配置WebLogic禁用IIOP协议的具体步骤:**

登录WebLogic控制台,在对应的域设置中选择“环境”-“服务器”,选择需要设置的服务器。然后在对应的服务器设置中选择“协议”-“IIOP”选项卡,取消勾选“启用IIOP”:6440d76a0d2dde577751f19e.png

保存后,重启服务器使设置生效。

## **产品支持**

QuanXi :默认支持对该漏洞的利用检测。

Insight:通过升级应急版本支持检测。

云图:默认支持本产品的指纹识别,也支持该漏洞的PoC原理检测。

洞穴指南:

## **参考文献**

[https://www.oracle.com/security-alerts/cpuapr2023.html](https://www.oracle.com/security-alerts/cpuapr2023.html)

创建帐户或登录后发表意见

转到主题列表

最近浏览 0

  • 没有会员查看此页面。