信息來源：國家互聯(lián)網(wǎng)應(yīng)急中心

        近日，互聯(lián)網(wǎng)上出現(xiàn)了針對Weblogic Java反序列化漏洞（CNVD-2015-07707，對應(yīng)CVE-2015-4852）補丁繞過的攻擊利用分析情況。官方廠商（Oracle公司）在2015年11月發(fā)布了Weblogic Java反序列化漏洞補丁，該漏洞補丁由于采用了不完全的黑名單攔截方式，可以被繞過，后續(xù)則需要通過兩個新補丁來完成修復(fù)。

        一、漏洞情況分析

        根據(jù)目前分析情況，Weblogic Java反序列化漏洞的補丁采用黑名單的方式過濾危險的反序列化類，這種修復(fù)方式存在被繞過的風險。目前，互聯(lián)網(wǎng)上對該漏洞的利用方式主要通過對之后披露的兩個新補丁進行逆向分析而獲得。其中：

        對于Oracle WebLogic Server遠程安全漏洞（CNVD-2017-00919 ，CVE-2017-3248）的分析表明，可以利用了黑名單之外的反序列化類，通過JRMP協(xié)議達到執(zhí)行任意反序列化payload。Java遠程消息交換協(xié)議JRMP即Java Remote MessagingProtocol，是特定于Java技術(shù)的、用于查找和引用遠程對象的協(xié)議。

        對于CNVD-2016-02481 ，CVE-2016-0638漏洞的分析表明，通過將反序列化的對象封裝進了weblogic.corba.utils.MarshalledObject，然后再對MarshalledObject進行序列化，生成payload字節(jié)碼。由于MarshalledObject不在WebLogic黑名單里，可正常反序列化，在反序列化時MarshalledObject對象調(diào)用readObject時對MarshalledObject封裝的序列化對象再次反序列化，可以繞過黑名單的限制。

        CNVD對上述風險的綜合評級為“高危”。

        二、漏洞影響范圍

        漏洞影響Oracle WebLogic Server 10.3.6.0、12.1.3.0、12.2.1.0、12.2.1.1等之前版本。

        三、漏洞修復(fù)建議

        建議相關(guān)版本用戶及時用最新補丁更新：

        http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html

        http://www.oracle.com/technetwork/security-advisory/cpuapr2016v3-2985753.html

        附：參考鏈接：

        http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html

        http://www.cnvd.org.cn/flaw/show/CNVD-2017-00919

        http://www.cnvd.org.cn/flaw/show/CNVD-2016-02481

        注：本公告參考了CNVD技術(shù)組成員單位啟明星辰公司提供的分析結(jié)果。