组件介绍

WebLogic是美国Oracle公司出品的一个Application Server, 确切的说是一个基于JAVE EE架构的中间件, WebLogic是用于开发, 集成, 部署和管理大型分布式Web应用, 网络应用和数据库应用的Java应用服务器.

WebLogic将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发, 集成, 部署和管理之中, 是商业市场上主要的Java(J2EE)应用服务器软件(Application Server)之一, 是世界上第一个成功商业化的J2EE应用服务器, 具有可扩展性, 快速开发, 灵活, 可靠性等优势.

 漏洞简介

2021年10月20日, 深信服安全团队监测到一则Oracle官方发布安全补丁的通告, 共修复了38个中间件漏洞, 其中重点关注的漏洞信息如下表.

严重漏洞描述

 CVE-2021-35617

攻击者可以在未授权的情况下通过IIOP协议对存在漏洞的WebLogic Server组件进行攻击. 成功利用该漏洞的攻击者可以接管WebLogic Server.

官方修复建议

当前官方已发布受影响版本的对应补丁, 建议受影响的用户及时更新官方的安全补丁. 链接如下:

https://www.oracle.com/security-alerts/cpuoct2021.html

打补丁方法:

用户可以使用Opatch进行补丁安装, 具体安装步骤如下:

(1)进入Oracle\Middleware\Oracle_Home\OPatch路径下, 运行opatch.bat脚本

(2)运行opatch apply {WebLogic补丁文件夹}命令进行补丁安装, 如下图:

(3)再运行opatch lspatches命令, 查看补丁号, 确认是否成功安装最新补丁.

注:用户需要使用Oracle官方更新的最新补丁, 并且结合自己实际使用的WebLogic Server版本号, 选择对应的补丁进行安装.