信息來源:FreeBuf
近日�����,國家信息安全漏洞庫(CNNVD)收到Oracle WebLogic Server遠程代碼執(zhí)行漏洞(CNNVD-201810-781�����、CVE-2018-3245)情況的報送�����。攻擊者可利用該漏洞在未授權的情況下發(fā)送攻擊數(shù)據�����,通過T3協(xié)議在WebLogic Server中執(zhí)行反序列化操作,最終實現(xiàn)遠程代碼執(zhí)行�����。WebLogic Server 10.3.6.0�����、12.1.3.0�����、12.2.1.2�����、12.2.1.3等版本均受漏洞影響�����。目前, Oracle官方已經發(fā)布補丁修復了漏洞�����,建議用戶及時確認是否受到漏洞影響�����,盡快采取修補措施�����。
一�����、漏洞介紹
Oracle WebLogic Server是美國甲骨文(Oracle)公司開發(fā)的一款適用于云環(huán)境和傳統(tǒng)環(huán)境的應用服務中間件�����,它提供了一個現(xiàn)代輕型開發(fā)平臺�����,支持應用從開發(fā)到生產的整個生命周期管理�����,并簡化了應用的部署和管理�����。
Oracle WebLogic Server存在遠程代碼執(zhí)行漏洞(CNNVD-201810-781�����、CVE-2018-3245)�����。該漏洞通過JRMP協(xié)議利用RMI機制的缺陷達到遠程代碼執(zhí)行的目的�����。攻擊者可以在未授權的情況下將payload封裝在T3協(xié)議中�����,通過對T3協(xié)議中的payload進行反序列化�����,從而實現(xiàn)對存在漏洞的WebLogic組件進行遠程攻擊,執(zhí)行任意代碼�����,并獲取目標系統(tǒng)的所有權限�����。
二�����、危害影響
攻擊者可利用漏洞在未授權的情況下發(fā)送攻擊數(shù)據�����,通過T3協(xié)議在WebLogic Server中執(zhí)行反序列化操作,最終實現(xiàn)遠程代碼執(zhí)行�����。該漏洞涉及了多個版本�����,具體受影響版本如下:
三�����、修復建議
目前�����, Oracle官方已經發(fā)布補丁修復了漏洞�����,建議用戶及時確認是否受到漏洞影響�����,盡快采取修補措施�����。
1.Oracle官方更新鏈接如下:
https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html
2.臨時解決方案:
通過設置weblogic.security.net.ConnectionFilterImpl默認連接篩選器�����,對T3/T3s協(xié)議的訪問權限進行配置�����,阻斷漏洞利用途徑。具體如下:
(a)進入WebLogic控制臺�����,在base_domain的配置頁面中�����,進入“安全”選項卡頁面�����,點擊“篩選器”�����,進入連接篩選器配置�����;
(b)在連接篩選器中輸入:WebLogic.security.net.ConnectionFilterImpl�����,在連接篩選器規(guī)則中輸入:* * 7001 deny t3 t3s�����;
(c)保存后重新啟動即可生效。
本通報由CNNVD技術支撐單位——啟明星辰信息技術有限公司(積極防御實驗室)提供支持�����。
CNNVD將繼續(xù)跟蹤上述漏洞的相關情況�����,及時發(fā)布相關信息�����。如有需要�����,可與CNNVD聯(lián)系�����。
聯(lián)系方式: cnnvd@itsec.gov.cn
