本站使用 cookies,继续浏览表示您同意我们使用 cookies。
oracle官方发布了4月份的关键补丁更新cpu(critical patch update),其中包含一个远程代码执行漏洞,漏洞威胁等级为高危,漏洞对应的cve编号为cve-2018-2628。
weblogic是美国oracle公司出品的一个应用服务器软件(application server),是用于开发、集成、部署和管理大型分布式web应用、网络应用和数据库应用的java应用服务器。目前weblogic是商业市场上主要的java(j2ee)应用服务器软件之一,也是一个成功商业化的j2ee应用服务器。
在 weblogic 里,inboundmsgabbrev中的resolveproxyclass是可以对rmi的类型进行处理的,但是只简单判断了java.rmi.registry.registry,为攻击者提供了绕过黑名单的机会,攻击者可以通过使用其他的rmi来绕过weblogic的黑名单限制。除此之外,java远程方法协议会序列化一个remoteobjectinvocationhandler,它会利用unicastref和远端建立tcp连接,并获取rmi registry,再将加载的内容利用readobject解析,从而造成反序列化远程代码执行。
oracle weblogic server10.3.6.0
oracle weblogic server12.2.1.2
oracle weblogic server12.2.1.3
oracle weblogic server12.1.3.0
本次漏洞利用简单,为高危漏洞。
触发此漏洞的前提是:
oracle weblogic server12.2.1.2,
oracle weblogic server12.2.1.3,
oracle weblogic server12.1.3.0中的任何一个版本的weblogic
基于这两个前提条件,搭建一套weblogic 10.3.6.0的运行环境如下:
使用深信服云眼检测系统可以发现,此weblogic环境确实存在漏洞:
oracle官方已经在今天的关键补丁更新(cpu)中修复了该漏洞,请受影响用户及时前往下载:通过正版软件的许可账号登陆https://support.oracle.com后,可以下载最新补丁。