【漏洞公告】

近日，Oracle官方发布了2022年7月安全更新公告，包含了其家族WebLogic Server在内的多个产品安全漏洞公告，其中Oracle WebLogic Server拒绝服务漏洞CVE-2022-21548和CVE-2022-21560风险较高，成功利用漏洞可能会导致Oracle WebLogic Server一定程度的拒绝服务。目前官方已发布新版本修复了此漏洞，建议受影响用户及时升级更新到安全版本。

参考链接：https://www.oracle.com/security-alerts/cpujul2022.html

漏洞风险矩阵参考（直接筛选CVE编号查询简约漏洞描述）：

https://www.oracle.com/security-alerts/cpujul2022verbose.html

Oracle历史安全漏洞公告参考：

https://www.oracle.com/security-alerts/

【影响范围】

CVE-2022-21548漏洞影响以下Oracle WebLogic Server版本：

WebLogic Server 12.2.1.3.0 版本

WebLogic Server 12.2.1.4.0 版本

WebLogic Server 14.1.1.0.0 版本

CVE-2022-21560漏洞影响以下Oracle WebLogic Server版本：

WebLogic Server 12.2.1.3.0 版本

WebLogic Server 12.2.1.4.0 版本

WebLogic Server 14.1.1.0.0 版本

【漏洞描述】

Oracle WebLogic Server拒绝服务漏洞（CVE-2022-21306）：漏洞存在于WebLogic Server Core中，该漏洞允许未经身份验证的攻击者通过T3、IIOP进行网络访问来破坏Oracle WebLogic Server。成功利用此漏洞可导致对某些Oracle WebLogic Server可访问数据的未经授权的更新、插入或删除访问，以及对Oracle WebLogic Server一定程度的拒绝服务。

Oracle WebLogic Server拒绝服务漏洞（CVE-2022-21560）：漏洞存在于WebLogic Server Core中，该漏洞允许未经身份验证的攻击者通过T3、IIOP进行网络访问来破坏Oracle WebLogic Server。成功利用此漏洞可能会导致Oracle WebLogic Server的部分拒绝服务。

【缓解措施】

高危：目前漏洞利用代码暂未公开，但可以通过补丁对比方式定位漏洞触发点并开发漏洞利用代码，建议及时测试并升级到漏洞修复版本。

官方修复建议：目前Oracle已发布升级补丁修复了上述漏洞，请用户参考官方通告及时下载更新补丁，并参照补丁包中的readme文件进行安装。

临时缓解措施：

针对T3协议的临时缓解加固措施：

使用连接筛选器临时阻止外部访问7001端口的T3/T3s协议：

连接筛选器：weblogic.security.net.ConnectionFiltermpl

规范示例：

0.0.0.0/0*7001 deny t3 t3s   #拒绝所有访问

允许和拒绝指定IP规则示例：

192.168.1.0/24*7001 allow t3 t3s   #允许指定IP段访问

192.168.1.0/24*7001 deny t3 t3s   #拒绝指定IP段访问

连接筛选器说明的参考（英文）：

https://docs.oracle.com/cd/E24329_01/web.1211/e24485/con_filtr.htm#SCPRG377

禁用IIOP协议：

在WebLogic控制台中，选择“base_domain”->“监视”进入“AdminServer”->“协议”->“IIOP”中，取消“启用IIOP”的勾选。并重启WebLogic项目，使配置生效。