组件介绍

WebLogic是美国Oracle公司出品的一个Application Server，确切的说是一个基于Jave EE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。

WebLogic将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中，是商业市场上主要的Java（J2EE）应用服务器软件（Application Server）之一，是世界上第一个成功商业化的J2EE应用服务器，具有可扩展性，快速开发，灵活，可靠性等优势。 

漏洞描述

Oracle官方发布了2021年4月的补丁修复如下漏洞：CVE-2021-2157、CVE-2021-2294、CVE-2021-2204、CVE-2021-2214、CVE-2021-2135、CVE-2021-2136、CVE-2021-2211、CVE-2021-2277、CVE-2020-25649、CVE-2021-2142，其中涉及WebLogic组件的高危漏洞有2个，cvss评分为9.8，分别为CVE-2021-2135、CVE-2021-2136。漏洞危害较大，建议受影响的客户尽快更新官方发布的安全补丁。

CVE-2021-2136            

攻击者可以在未授权的情况下通过IIOP协议对存在漏洞的WebLogic Server组件进行攻击。成功利用该漏洞的攻击者可以接管WebLogic Server。

CVE-2021-2135

攻击者可以在未授权的情况下通过IIOP、T3协议对存在漏洞的WebLogic Server组件进行攻击。成功利用该漏洞的攻击者可以接管WebLogic Server。

影响范围

目前据统计，在全球范围内对互联网开放WebLogic的资产数量多达35,894台，其中归属中国地区的受影响资产数量1万以上，受众面较广。

目前受影响的Oracle WebLogic Server版本：

CVE-2021-2136：

12.1.3.0.0

12.2.1.3.0

12.2.1.4.0

14.1.1.0.0

CVE-2021-2135：

12.1.3.0.0

12.2.1.3.0

12.2.1.4.0

14.1.1.0.0

如何检测组件系统版本

用户可以通过进入WebLogic安装主目录下的OPatch目录，在此处打开命令行，输入.\opatch lspatches命令，结果如下：

2.官方修复建议

当前官方已发布受影响版本的对应补丁，建议受影响的用户及时更新官方的安全补丁。链接如下：

https://www.oracle.com/security-alerts/cpuapr2021.html

打补丁/升级方法：

使用Opatch进行补丁安装

进入Oracle\Middleware\Oracle_Home\OPatch路径下，运行opatch.bat脚本

运行opatch apply {WebLogic补丁文件夹}命令进行补丁安装，如下图：

再运行opatch lspatches命令，查看补丁号，确认是否成功安装最新补丁。

注：用户需要使用Oracle官方更新的最新补丁，并且结合自己实际使用的WebLogic Server版本号，选择对应的补丁进行安装。