GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

【缝隙公告】Oracle WebLogic Server 10月多个安全缝隙

颁布功夫 2023-10-18

一、缝隙概述

2023年10月18日，GA黄金甲VSRC监测到Oracle颁布了10月安全更新，本次更新共蕴含387个新安全补丁，涉及Oracle 和第三方组件中的缝隙。

这次更新中共蕴含46个针对 Oracle 融合中央件的新安全补丁，其中 35个缝隙无需身份验证即可被远程利用。其中影响Oracle WebLogic Server的部门缝隙如下：

CVE	产品	涉及组件	和谈	是否远程利用	CVSS评分	影响领域
CVE-2023-22069	Oracle WebLogic Server	Core	T3、IIOP	是	9.8	12.2.1.4.0、14.1.1.0.0
CVE-2023-22072	Oracle WebLogic Server	Core	T3、IIOP	是	9.8	12.2.1.3.0
CVE-2023-22089	Oracle WebLogic Server	Core	T3、IIOP	是	9.8	12.2.1.4.0、14.1.1.0.0
CVE-2023-22101	Oracle WebLogic Server	Core	T3、IIOP	是	8.1	12.2.1.4.0、14.1.1.0.0
CVE-2023-22086	Oracle WebLogic Server	Core	T3、IIOP	是	7.5	12.2.1.4.0、14.1.1.0.0
CVE-2023-22108	Oracle WebLogic Server	Core	T3、IIOP	是	7.5	12.2.1.4.0、14.1.1.0.0
CVE-2023-2976	Oracle WebLogic Server	集中式第三方Jars（Google Guava）	无	否	7.1	12.2.1.4.0、14.1.1.0.0
CVE-2023-35116	Oracle WebLogic Server	集中式第三方Jars （jackson-databind）	无	否	4.7	12.2.1.4.0、14.1.1.0.0

CVE-2023-22069/CVE-2023-22072/CVE-2023-22089：Oracle WebLogic Server远程代码执行缝隙（严沉）

Oracle WebLogic Server（组件：Core）存在多个缝隙，未经身份验证的远程威胁者可通过 T3、IIOP 进行网络接见来粉碎 Oracle WebLogic Server，成功利用这些缝隙可能导致Oracle WebLogic Server 被收受。

CVE-2023-22101：Oracle WebLogic Server远程代码执行缝隙（高危）

Oracle WebLogic Server（组件：Core）存在缝隙，未经身份验证的远程威胁者可通过 T3、IIOP 进行网络接见来粉碎Oracle WebLogic Server，成功利用该缝隙可能导致Oracle WebLogic Server 被收受，该缝隙的利用难度较高。

CVE-2023-22086/ CVE-2023-22108：Oracle WebLogic Server未授权接见缝隙（高危）

Oracle WebLogic Server（组件：Core）存在缝隙，未经身份验证的远程威胁者可通过 T3、IIOP 进行网络接见来粉碎 Oracle WebLogic Server，成功利用这些缝隙可能导致对关键数据的未授权接见或对所有 Oracle WebLogic Server 可接见数据的齐全接见。

二、影响领域

受影响的支持版本蕴含：

Oracle WebLogic Server版本：14.1.1.0.0

Oracle WebLogic Server版本：12.2.1.4.0

Oracle WebLogic Server版本：12.2.1.3.0

三、安全措施

3.1 升级版本

目前Oracle已经颁布了有关缝隙的补丁集中，受影响用户可实时更新。

参考链接：

https://www.oracle.com/security-alerts/cpuoct2023.html

3.2 一时措施

如非必要，能够选择禁用T3 和谈、IIOP和谈。

禁用T3和谈：

1）进入WebLogic节造台，在base_domain的配置页面中，进入“安全”选项卡页面，点击“筛选器”，进入衔接筛选器配置。

2) 在衔接筛选器中输入：weblogic.security.net.ConnectionFilterImpl

在衔接筛选器规定中输入：

127.0.0.1 * * allow t3 t3s

0.0.0.0/0 * *deny t3 t3s （注：t3和t3s和谈的所有端口只允许本地接见）。

3）保留后需沉新启动，规定方可生效。

禁用IIOP和谈

在WebLogic节造台中，选择【环境】>>【服务器】>>点击【AdminServer（治理）】>>【和谈】>>【IIOP】，取缔勾选“启用IIOP”，保留并沉启WebLogic项目。

3.3 通用建议

l 定期更新系统补丁，削减系统缝隙，提升服务器的安全性。

l 加强系统和网络的接见节造，批改防火墙战术，关关非必要的利用端口或服务，削减将危险服务（如SSH、RDP等）露出到公网，削减攻击面。

l 使用企业级安全产品，提升企业的网络安全机能。

l 加强系统用户和权限治理，启用多成分认证机造和最幼权限准则，用户和软件权限应维持在最低限度。

l 启用强密码战术并设置为定期批改。

3.4 参考链接

https://www.oracle.com/security-alerts/cpuoct2023.html

https://nvd.nist.gov/vuln/detail/CVE-2023-22072

四、版本信息

版本	日期	备注
V1.0	2023-10-18	初次颁布

五、附录

5.1 GA黄金甲简介

GA黄金甲成立于1996年，是由留美博士严望佳女士创建的、占有齐全自主知识产权的信息安全高科技企业。是国内最具实力的信息安全产品、安全服务解决规划的领航企业之一。

公司总部位于北京市中关村软件园GA黄金甲大厦，公司员工6000余人，研发团队1200余人, 技术服务团队1300余人。在全国各省、视注自治区设立分支机构六十多个，占有覆盖全国的销售系统、渠路系统和技术支持系统。公司于2010年6月23日在深圳中幼板挂牌上市。（股票代码：002439）

多年来，GA黄金甲致力于提供拥有国际竞争力的自主创新的安全产品和最佳实际服务，援手客户全面提升其IT基础设施的安全性和出产效力，为打造和提升国际化的民族信息安全产业领军品牌而不懈致力。

5.2 关于GA黄金甲

GA黄金甲安全应急响应中心已颁布1000多个缝隙公告微风险预警，我们将持续跟踪全球最新的网络安全事务和缝隙，为企业的信息安全保驾护航。

关注我们：

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】