【首创缝隙】WebLogic Blind XXE缝隙布告(CVE-2020-14820)

宣布时候 2020-10-22

缝隙概述

 

Oracle官方宣布了10月份的宁静补丁, 补丁中包罗启明星斗ADLab发明并第临时候提交给官方的缝隙,缝隙编号为CVE-2020-14820。经由过程该缝隙,进犯者能够在未受权的情况下将payload封装在T3或IIOP和谈中,经由过程对和谈中的payload停止反序列化,从而完成对存在缝隙的WebLogic组件停止长途Blind XXE进犯。


缝隙时候轴


2020年5月11日,ADLab将缝隙概况提交给Oracle官方;

2020年5月12日,Oracle官方确认缝隙存在并起头动手修复;

2020年10月21日,Oracle官方宣布宁静补丁。


受影响版本 


Weblogic 10.3.6.0.0

Weblogic 12.1.3.0.0

Weblogic 12.2.1.3.0

Weblogic 12.2.1.4.0

Weblogic 14.1.1.0.0


1.png


缝隙操纵 


测试情况:WebLogicServer 10.3.6.0.0

缝隙操纵结果:



2.png


躲避打算 


1、进级补丁

http://www.oracle.com/security-alerts/cpuoct2020.html


2、节制T3和谈的拜候


详细操纵:

1)进入WebLogic节制台,在base_domain的设置装备摆设页面中,进入“宁静”选项卡页面,点击“挑选器”,进入毗连挑选器设置装备摆设。

2)在毗连挑选器中输出:weblogic.security.net.ConnectionFilterImpl,在毗连挑选器法则中输出:127.0.0.1 * * allow t3t3s,0.0.0.0/0 * *deny t3 t3s(t3和t3s和谈的一切端口只许可本地拜候)。

3)保管后需从头启动,法则方可失效。


3.png


3、制止启用IIOP和谈


登岸WebLogic节制台,base_domain >办事器提要 >AdminServer


4.png


启明星斗主动进攻尝试室(ADLab)


DLab建立于1999年,是中国宁静行业最早建立的攻防手艺研讨尝试室之一,微软MAPP打算焦点成员,“黑雀进犯”观点首推者。停止今朝,ADLab已经由过程CVE累计宣布宁静缝隙近1100个,经由过程 CNVD/CNNVD累计宣布宁静缝隙900余个,延续坚持国际收集宁静范畴一流水准。尝试室研讨标的目的涵盖操纵体系与操纵体系宁静研讨、挪动智能终端宁静研讨、物联网智能装备宁静研讨、Web宁静研讨、工控体系宁静研讨、云宁静研讨。研讨功效操纵于产物焦点手艺研讨、国度重点科技名目攻关、专业宁静办事等。


5.jpg