全部产品

【漏洞公告】 CVE-2018-2628:WebLogic T3协议反序列化漏洞可导致远程代码执行

更新时间:2018-04-20 20:06:03

Oracle官方发布了4月份的关键补丁更新CPU(Critical Patch Update),其中包含一个高危的Weblogic反序列化漏洞(CVE-2018-2628),通过该漏洞,攻击者可以在未授权的情况下远程执行代码。该漏洞安全风险高。Oracle官方及时发布了最新补丁,修复了该漏洞,阿里云安全团队建议您尽快自查并升级。

漏洞详情见下文。


漏洞编号

CVE-2018-2628

漏洞名称

WebLogic T3协议反序列化漏洞

官方评级

高危

漏洞描述

Oracle WebLogic Server 10.3.6.0,12.1.3.0,12.2.1.2,和12.2.1.13版本WebLogic T3协议反序列化漏洞可导致远程代码执行。恶意攻击者可以通过构造恶意请求报文远程执行命令,获取系统权限,带来严重的安全风险。

漏洞利用条件和方式

远程利用

漏洞影响范围

  • WebLogic 10.3.6.0
  • WebLogic 12.1.3.0
  • WebLogic 12.2.1.2
  • WebLogic 12.2.1.3

漏洞检测

  • 检测版本是否在受影响范围内。
  • 检测是否对外开放weblogic 7001端口, 并检查是否开启T3服务,T3服务默认开启。

漏洞修复建议(或缓解措施)

  • 缓解措施:

如果您不依赖T3协议进行JVM通信,可通过暂时阻断T3协议缓解此漏洞带来的影响。

  1. 进入Weblogic控制台,在base_domain配置页面中,进入“安全”选项卡页面,点击“筛选器”,配置筛选器
  2. 在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入:* * 7001 deny t3 t3s
  3. 保存生效(无需重启)
  • 彻底解决方案:

阿里云安全团队建议使用了WebLogic的用户关注Oracle官方发布的关键补丁更新(CPU)并尽快升级,达到防护此漏洞的效果。官方链接:http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html

情报来源: