WebLogic远程Blind XXE高危缝隙 GA黄金甲提供解决规划

颁布功夫 2019-04-19

WebLogic是Oracle公司出品的一个基于JAVAEE架构的中央件，WebLogic是用于开发、集成、部署和治理大型散布式Web利用、网络利用和数据库利用的Java利用服务器。

2019年4月17日，Oracle官方颁布4月份安全补丁, 补丁中蕴含GA黄金甲ADLab发现并第一功夫提交给Oracle官方的WebLogic Blind XXE缝隙，缝隙编号为CVE-2019-2647。利用该缝隙，攻击者能够在未授权的情况下将payload封装在T3和谈中，通过对T3和谈中的payload进行反序列化，从而实现对存在缝隙的WebLogic组件进行远程Blind XXE攻击。该缝隙影响领域宽泛，建议宽大用户实时采取应对措施，以免遭逢黑客攻击。

具体内容可参考ADLab分析：
https://mp.weixin.qq.com/s/ded-kzmApHk_EsJakeSwpg

缝隙影响版本

WebLogic 10.3.6.0
WebLogic 12.1.3.0
WebLogic 12.2.1.2
WebLogic 12.2.1.3

缝隙验证

测试环境：
WebLogic Server 10.3.6.0（打补p28343311_1036_Generic）
缝隙利用成效：

解决规划

1、官方建议

? 升级补丁

Oracle官方更新链接地址：
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html。

? 节造T3和谈的接见

WebLogic Blind XXE缝隙产生于WebLogic的T3服务，因而可通过节造T3和谈的接见来一时阻断针对该缝隙的攻击。当盛开WebLogic节造大驾口（默以为7001端口）时，T3服务会默认开启。

（1）进入WebLogic节造台，在base_domain配置页面中，进入安全选项卡页面，点击筛选器，配置筛选器。

（2）在衔接筛选器中输入：weblogic.security.net.ConnectionFilterImpl，在衔接筛选器规定中输入：127.0.0.1 * * allow t3 t3s，0.0.0.0/0 * * deny t3 t3s(t3和t3s和谈的所有端口只允许本地接见)。

（3）保留后需沉新启动，规定方可生效。

2、缝隙扫描

GA黄金甲天镜脆弱性扫描与治理系统V6.0于2019年4月18日垂危颁布针对该缝隙的升级包，支持对该缝隙进行检测，用户升级天镜漏扫产品缝隙库后即可对该缝隙进行扫描。6070版本升级包为607000214，升级包下载地址：
/article/type/1/146.html

请天镜脆弱性扫描与治理系统V6.0产品的用户尽快升级到最新版本，实时对该缝隙进行检测，以便尽快采取防备措施。

3、产品检测与防护

已部署GA黄金甲IDS、IPS、WAF产品的客户请确认如下事务规定已经下发并利用，即可有效检测或阻断攻击。

HTTP_Weblogic_肆意文件读取缝隙[CVE-2019-2615]
HTTP_WebLogic_肆意文件上传缝隙[CVE-2019-2618]
HTTP_WebLogic_Blind_XXE注入缝隙[CVE-2019-2647]

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

软件升级

投资者关系

关于GA黄金甲