【漏洞预警】Weblogic反序列化远程代码执行漏洞

2018-04-18 14:48:34
Dear user
您好,北京时间4月18日凌晨,Oracle官方发布了4月份的关键补丁更新 CPU(Critical Patch Update),其中包含一个高危的Weblogic反序列化漏洞(CVE-2018-2628),通过该漏洞,攻击者可以在未授权的情况下远程执行代码。

为避免您的业务受影响,京东云安全团队建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

【漏洞详情】
此漏洞系Weblogic WLS Core组件的T3服务存在反序列化问题所致,由于启用Weblogic控制台端口时(默认端口:7001),T3服务会默认开启,因而受影响面相对较广。

【风险等级】
高危

【影响版本】
目前已知受影响版本如下:
Weblogic 10.3.6.0
Weblogic 12.1.3.0
Weblogic 12.2.1.2
Weblogic 12.2.1.3

【修复建议】
对WebLogic版本检查:

cd /lopt/bea92sp2/weblogic92/server/lib
java -cp weblogic.jar weblogic.version

如在影响版本范围内,需要下载补丁更新。需持有正版软件的许可账号,使用对应账号登录 https://support.oracle.com 后,下载最新补丁即可。

【临时缓解方案】
WebLogic Server 提供了名为 weblogic.security.net.ConnectionFilterImpl 的默认连接筛选器,用户可通过控制T3协议的访问来临时阻断针对该漏洞的攻击,如果您不依赖T3协议进行JVM通信,可通过暂时阻断T3协议缓解此漏洞带来的影响。

1. 进入Weblogic控制台,在base_domain配置页面中,进入“安全”选项卡页面,点击“筛选器”,配置筛选器。
2. 在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入:* * 7001 deny t3 t3s。
3. 保存生效

【参考信息】
2)绿盟科技博客:http://blog.nsfocus.net/cve-2018-2628/

JD Cloud team

2018-04-18 14:48:34

This content does not have an English version, but a Chinese version, as shown below.

Do not show this message again.
×