2021年1月20日，Oracle發(fā)布2021年1月關(guān)鍵補(bǔ)丁更新，修復(fù)了多個評分為 9.8 的嚴(yán)重漏洞。其中包括阿里云安全發(fā)現(xiàn)的：

? CVE-2021-2109 Weblogic Server遠(yuǎn)程代碼執(zhí)行漏洞，等級：高危

以及 螞蟻安全非攻實(shí)驗室發(fā)現(xiàn)的兩個嚴(yán)重漏洞：

? CVE-2020-14756 jep290繞過導(dǎo)致遠(yuǎn)程代碼執(zhí)行漏洞，等級：嚴(yán)重

? CVE-2021-2075 Derby privileges權(quán)限代碼執(zhí)行漏洞，等級：嚴(yán)重

漏洞描述

2021年1月20日，Oracle官方發(fā)布了漏洞補(bǔ)丁，修了包括 CVE-2021-2109 Weblogic Server遠(yuǎn)程代碼執(zhí)行漏洞在內(nèi)的多個高危嚴(yán)重漏洞。CVE-2021-2109 中，攻擊者可構(gòu)造惡意請求，造成JNDI注入，執(zhí)行任意代碼，從而控制服務(wù)器。

漏洞評級

CVE-2020-14756：嚴(yán)重

CVE-2021-2075：嚴(yán)重

CVE-2021-1994：嚴(yán)重

CVE-2021-2047：嚴(yán)重

CVE-2021-2064：嚴(yán)重

CVE-2021-2108：嚴(yán)重

CVE-2021-2109：高危

CVE-2021-1995 ：高危

CVE-2021-2109 高危

漏洞證明

CVE-2021-2109

影響版本

WebLogic 10.3.6.0.0

WebLogic 12.1.3.0.0

WebLogic 12.2.1.3.0

WebLogic 12.2.1.4.0

WebLogic 14.1.1.0.0

安全建議

一、禁用T3協(xié)議

如果您不依賴T3協(xié)議進(jìn)行JVM通信，可通過暫時阻斷T3協(xié)議緩解此漏洞帶來的影響

1. 進(jìn)入Weblogic控制臺，在base_domain配置頁面中，進(jìn)入“安全”選項卡頁面，點(diǎn)擊“篩選器”，配置篩選器。

2. 在連接篩選器中輸入：weblogic.security.net.ConnectionFilterImpl，在連接篩選器規(guī)則框中輸入：* * 7001 deny t3 t3s。

二、禁止啟用IIOP

登陸Weblogic控制臺，找到啟用IIOP選項，取消勾選，重啟生效

三、臨時關(guān)閉后臺/console/console.portal對外訪問

四、升級官方安全補(bǔ)丁