信息來源:FreeBuf
近日,國(guó)家信息安全漏洞庫(kù)(CNNVD)收到Oracle WebLogic Server遠(yuǎn)程代碼執(zhí)行漏洞(CNNVD-201810-781�、CVE-2018-3245)情況的報(bào)送�����。攻擊者可利用該漏洞在未授權(quán)的情況下發(fā)送攻擊數(shù)據(jù),通過T3協(xié)議在WebLogic Server中執(zhí)行反序列化操作,最終實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行�。WebLogic Server 10.3.6.0、12.1.3.0��、12.2.1.2�、12.2.1.3等版本均受漏洞影響��。目前����, Oracle官方已經(jīng)發(fā)布補(bǔ)丁修復(fù)了漏洞,建議用戶及時(shí)確認(rèn)是否受到漏洞影響����,盡快采取修補(bǔ)措施��。
一�、漏洞介紹
Oracle WebLogic Server是美國(guó)甲骨文(Oracle)公司開發(fā)的一款適用于云環(huán)境和傳統(tǒng)環(huán)境的應(yīng)用服務(wù)中間件�����,它提供了一個(gè)現(xiàn)代輕型開發(fā)平臺(tái)����,支持應(yīng)用從開發(fā)到生產(chǎn)的整個(gè)生命周期管理,并簡(jiǎn)化了應(yīng)用的部署和管理�����。
Oracle WebLogic Server存在遠(yuǎn)程代碼執(zhí)行漏洞(CNNVD-201810-781�����、CVE-2018-3245)�。該漏洞通過JRMP協(xié)議利用RMI機(jī)制的缺陷達(dá)到遠(yuǎn)程代碼執(zhí)行的目的�����。攻擊者可以在未授權(quán)的情況下將payload封裝在T3協(xié)議中����,通過對(duì)T3協(xié)議中的payload進(jìn)行反序列化,從而實(shí)現(xiàn)對(duì)存在漏洞的WebLogic組件進(jìn)行遠(yuǎn)程攻擊����,執(zhí)行任意代碼,并獲取目標(biāo)系統(tǒng)的所有權(quán)限。
二�����、危害影響
攻擊者可利用漏洞在未授權(quán)的情況下發(fā)送攻擊數(shù)據(jù)�����,通過T3協(xié)議在WebLogic Server中執(zhí)行反序列化操作,最終實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行�。該漏洞涉及了多個(gè)版本��,具體受影響版本如下:
三���、修復(fù)建議
目前, Oracle官方已經(jīng)發(fā)布補(bǔ)丁修復(fù)了漏洞��,建議用戶及時(shí)確認(rèn)是否受到漏洞影響��,盡快采取修補(bǔ)措施�。
1.Oracle官方更新鏈接如下:
https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html
2.臨時(shí)解決方案:
通過設(shè)置weblogic.security.net.ConnectionFilterImpl默認(rèn)連接篩選器��,對(duì)T3/T3s協(xié)議的訪問權(quán)限進(jìn)行配置�,阻斷漏洞利用途徑。具體如下:
(a)進(jìn)入WebLogic控制臺(tái)�����,在base_domain的配置頁(yè)面中��,進(jìn)入“安全”選項(xiàng)卡頁(yè)面��,點(diǎn)擊“篩選器”���,進(jìn)入連接篩選器配置;
(b)在連接篩選器中輸入:WebLogic.security.net.ConnectionFilterImpl���,在連接篩選器規(guī)則中輸入:* * 7001 deny t3 t3s��;
(c)保存后重新啟動(dòng)即可生效��。
本通報(bào)由CNNVD技術(shù)支撐單位——啟明星辰信息技術(shù)有限公司(積極防御實(shí)驗(yàn)室)提供支持��。
CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況��,及時(shí)發(fā)布相關(guān)信息�。如有需要�,可與CNNVD聯(lián)系����。
聯(lián)系方式: cnnvd@itsec.gov.cn
