【漏洞预警】weblogic反序列化漏洞cve-凯发登录

本站使用 cookies,继续浏览表示您同意我们使用 cookies。

  • 2018-04-19

【漏洞预警】weblogic反序列化漏洞cve-2018-2628

    oracle官方发布了4月份的关键补丁更新cpu(critical patch update),其中包含一个远程代码执行漏洞,漏洞威胁等级为高危,漏洞对应的cve编号为cve-2018-2628。

漏洞描述

    weblogic是美国oracle公司出品的一个应用服务器软件(application server),是用于开发、集成、部署和管理大型分布式web应用、网络应用和数据库应用的java应用服务器。目前weblogic是商业市场上主要的java(j2ee)应用服务器软件之一,也是一个成功商业化的j2ee应用服务器。

漏洞说明

    在 weblogic 里,inboundmsgabbrev中的resolveproxyclass是可以对rmi的类型进行处理的,但是只简单判断了java.rmi.registry.registry,为攻击者提供了绕过黑名单的机会,攻击者可以通过使用其他的rmi来绕过weblogic的黑名单限制。除此之外,java远程方法协议会序列化一个remoteobjectinvocationhandler,它会利用unicastref和远端建立tcp连接,并获取rmi registry,再将加载的内容利用readobject解析,从而造成反序列化远程代码执行。

影响版本

oracle weblogic server10.3.6.0

oracle weblogic server12.2.1.2

oracle weblogic server12.2.1.3

oracle weblogic server12.1.3.0

威胁等级

本次漏洞利用简单,为高危漏洞。

漏洞复现

触发此漏洞的前提是:

  • 使用了oracle weblogic server10.3.6.0,

oracle weblogic server12.2.1.2,

oracle weblogic server12.2.1.3,

oracle weblogic server12.1.3.0中的任何一个版本的weblogic

  • 对外开放了weblogic端口

 

基于这两个前提条件,搭建一套weblogic 10.3.6.0的运行环境如下:

使用深信服云眼检测系统可以发现,此weblogic环境确实存在漏洞:

修复建议

oracle官方已经在今天的关键补丁更新(cpu)中修复了该漏洞,请受影响用户及时前往下载:通过正版软件的许可账号登陆https://support.oracle.com后,可以下载最新补丁。

深信服凯发登录的解决方案

  • 深信服安全云在漏洞爆发之初,已完成检测更新,对所有用户网站探测,保障用户安全。不清楚自身业务是否存在漏洞的用户,可注册深信服云眼账号,获取15天免费安全体验。注册地址为:https://saas.sangfor.com.cn

  • 深信服下一代防火墙可轻松防御此漏洞,建议已经部署了深信服下一代防火墙的用户更新到20171122日及以后日期的ips规则库,并设置防护策略,即可轻松抵御此高危风险。

 

网站地图