【漏洞预警】Oracle WebLogic Server 10月多个安全漏洞威胁通告

1. 通告信息

近日，安识科技A-Team团队监测到Oracle发布了10月安全更新，本次更新共包含387个新安全补丁，涉及Oracle 和第三方组件中的漏洞。

对此，安识科技建议广大用户及时升级到安全版本，并做好资产自查以及预防工作，以免遭受黑客攻击。

2. 漏洞概述

简述：Oracle WebLogic Server 是一个Java应用服务器，它全面实现了J2EE 1.5规范、最新的Web服务标准和最高级的互操作标准。WebLogic Server内核以可执行、可扩展和可靠的方式提供统一的安全、事务和管理服务。

漏洞名称：Oracle WebLogic Server 10月多个安全漏洞

此次更新中共包含46个针对 Oracle 融合中间件的新安全补丁，其中 35个漏洞无需身份验证即可被远程利用。其中影响Oracle WebLogic Server的部分漏洞如下：

CVE

产品

涉及组件

协议

是否远程利用

CVSS评分

影响范围

CVE-2023-22069

Oracle WebLogic Server

Core

T3、IIOP

是

9.8

12.2.1.4.0、14.1.1.0.0

CVE-2023-22072

Oracle WebLogic Server

Core

T3、IIOP

是

9.8

12.2.1.3.0

CVE-2023-22089

Oracle WebLogic Server

Core

T3、IIOP

是

9.8

12.2.1.4.0、14.1.1.0.0

CVE-2023-22101

Oracle WebLogic Server

Core

T3、IIOP

是

8.1

12.2.1.4.0、14.1.1.0.0

CVE-2023-22086

Oracle WebLogic Server

Core

T3、IIOP

是

7.5

12.2.1.4.0、14.1.1.0.0

CVE-2023-22108

Oracle WebLogic Server

Core

T3、IIOP

是

7.5

12.2.1.4.0、14.1.1.0.0

CVE-2023-2976

Oracle WebLogic Server

集中式第三方Jars（Google Guava）

无

否

7.1

12.2.1.4.0、14.1.1.0.0

CVE-2023-35116

Oracle WebLogic Server

集中式第三方Jars （jackson-databind）

无

否

4.7

12.2.1.4.0、14.1.1.0.0

CVE-2023-22069/CVE-2023-22072/CVE-2023-22089：Oracle WebLogic Server远程代码执行漏洞（严重）

Oracle WebLogic Server（组件：Core）存在多个漏洞，未经身份验证的远程威胁者可通过 T3、IIOP 进行网络访问来破坏 Oracle WebLogic Server，成功利用这些漏洞可能导致Oracle WebLogic Server 被接管。

CVE-2023-22101：Oracle WebLogic Server远程代码执行漏洞（高危）

Oracle WebLogic Server（组件：Core）存在漏洞，未经身份验证的远程威胁者可通过 T3、IIOP 进行网络访问来破坏Oracle WebLogic Server，成功利用该漏洞可能导致Oracle WebLogic Server 被接管，该漏洞的利用难度较高。

CVE-2023-22086/ CVE-2023-22108：Oracle WebLogic Server未授权访问漏洞（高危）

Oracle WebLogic Server（组件：Core）存在漏洞，未经身份验证的远程威胁者可通过 T3、IIOP 进行网络访问来破坏 Oracle WebLogic Server，成功利用这些漏洞可能导致对关键数据的未授权访问或对所有 Oracle WebLogic Server 可访问数据的完全访问。

3. 漏洞危害

35个漏洞无需身份验证即可被远程利用。

4. 影响版本

受影响的支持版本包括：

Oracle WebLogic Server版本：14.1.1.0.0

Oracle WebLogic Server版本：12.2.1.4.0

Oracle WebLogic Server版本：12.2.1.3.0

5. 解决方案

目前Oracle已经发布了相关漏洞的补丁集合，受影响用户可及时更新。

参考链接：

https://www.oracle.com/security-alerts/cpuoct2023.html

临时措施：

如非必要，可以选择禁用T3 协议、IIOP协议。

禁用T3协议：

1）进入WebLogic控制台，在base_domain的配置页面中，进入“安全”选项卡页面，点击“筛选器”，进入连接筛选器配置。

2. 在连接筛选器中输入：weblogic.security.net.ConnectionFilterImpl

在连接筛选器规则中输入：

127.0.0.1 * * allow t3 t3s

0.0.0.0/0 * *deny t3 t3s （注：t3和t3s协议的所有端口只允许本地访问）。

3）保存后需重新启动，规则方可生效。 

禁用IIOP协议：

在WebLogic控制台中，选择【环境】>>【服务器】>>点击【AdminServer（管理）】>>【协议】>>【IIOP】，取消勾选“启用IIOP”，保存并重启WebLogic项目。

6. 时间轴

【-】2023年10月17日 安识科技A-Team团队监测到漏洞公布信息

【-】2023年10月18日 安识科技A-Team团队根据漏洞信息分析

【-】2023年10月19日 安识科技A-Team团队发布安全通告