• 比贫穷更可怕的,是心穷 有故事的人 2019-03-07
  • 人民日报社内蒙古分社 2019-03-07
  • 2017年度合肥市政务微信十强名单公布 2019-02-28
  • 展开心中之爱 公益之路福彩与您并肩同行 2019-02-20
  • 客运站卫生间脏乱不堪 当地:已进行了整改 2019-02-14
  • 兵团第十二师三坪农场“民族团结一家亲”让亲戚越走越亲 2019-02-14
  • ——客观唯心主义哲学思想的幸福感和不幸福感则是:人的主观臆断的欲望能否在“神”的制约中满足“好”的感觉。“幸福”就是在“神”的制约中满足了人的主观臆断的欲望而达 2019-02-13
  • 山西日报传媒集团公司(合并)2017年第三季度财务等重大信息 2019-02-13
  • “调图”奏响美好出行新篇章 2019-02-12
  • 苦瓜-热门标签-华商生活 2019-02-08
  • 视频:16小时长效持妆 测YSL墨水气垫限量版 2019-02-07
  • 女性之声——全国妇联 2019-02-06
  • 学思践悟丨修好共产党人“心学” 2019-02-05
  • 刘伯承之子刘蒙谈“立马太行的一代儒将” 2019-02-03
  • 银川:“互联网+政务”加速“放管服”改革 2019-02-03
  • 当前位置: 首页>>信息公开>>网络安全

    网络安全

    关于Oracle WebLogic Server存在反序列化远程代码执行漏洞的安全公告

    作者:

    来源:

    时间:2018-10-25

        2018年7月18日,国家信息安全漏洞共享平台(CNVD)收录了Oracle WebLogic Server反序列化远程代码执行漏洞(CNVD-2018-13334,对应CVE-2018-2893)。攻击者利用该漏洞,可在未授权的情况下远程执行代码。目前厂商已发布补丁进行修复。

        一、漏洞情况分析 

        WebLogic Server是美国甲骨文(Oracle)公司开发的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。RMI目前使用Java远程消息交换协议JRMP(Java Remote Messaging Protocol)进行通信,JRMP协议是专为Java的远程对象制定的协议。在WebLogic Server的 RMI(远程方法调用)通信中,T3协议(丰富套接字)用来在 WebLogic Server 和其他 Java 程序(包括客户端及其他 WebLogic Server 实例)间传输数据,该协议在开放WebLogic控制台端口的应用上默认开启。由于在WebLogic中,T3协议和Web协议共用同一个端口,因此只要能访问WebLogic就可利用T3协议,将payload发送至目标服务器。

        北京时间7月18日凌晨,Oracle官方发布了7月份关键补丁更新CPU(Critical Patch Update),其中修复了一个在4月份CPU补丁中未能完全修复的Weblogic Server反序列化漏洞(CNVD-2018-07811,CVE-2018-2628)。该漏洞通过JRMP协议利用RMI机制的缺陷达到执行任意反序列化代码的目的。攻击者可以在未授权的情况下将payload封装在T3协议中,通过对T3协议中的payload进行反序列化,从而实现对存在漏洞的WebLogic组件进行远程攻击,执行任意代码并可获取目标系统的所有权限。

        CNVD对该漏洞的综合评级为“高?!?。

        二、漏洞影响范围 

        根据官方公告情况,该漏洞的影响版本如下:

      WebLogic 10.3.6.0

      WebLogic 12.1.3.0

      WebLogic 12.2.1.2

      WebLogic 12.2.1.3

      CNVD秘书处对WebLogic服务在全球范围内的分布情况进行了统计,结果显示该服务的全球规模约为6.9万,其中我国境内的用户量约为2.15万。随机抽样检测结果显示,约0.4%的WebLogic服务器受此漏洞影响。该比例远低于我平台在4月18日收录的WebLogic Server反序列化漏洞(CNVD-2018-07811)的影响范围。

        三、漏洞处置建议 

        1、美国甲骨文公司已发布了修复补丁,建议及时更新至最新版本://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html 

       2、临时解决方案:控制T3协议的访问

      此漏洞产生于WebLogic的T3服务,因此可通过控制T3协议的访问来临时阻断针对该漏洞的攻击。当开放WebLogic控制台端口(默认为7001端口)时,T3服务会默认开启。

      具体操作:

     ?。?)进入WebLogic控制台,在base_domain的配置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。

     ?。?)在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则中输入:127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s(t3和t3s协议的所有端口只允许本地访问)。

     ?。?)保存后需重新启动,规则方可生效。

        3、升级到 jdk-8u20以上的版本。

         附:参考链接: 

       //www.cnvd.org.cn/flaw/show/CNVD-2018-13334 

       //www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html 

      本文转自CNVD漏洞平台

    Copyright©2018.   All Rights Reserver

    版权所有:辽宁省通信管理局   辽ICP备05000001号

    通信地址:辽宁省沈阳市皇姑区崇山西路17甲 邮编:110036

    值班电话:024-86581177   电信用户申诉受理:024-12300

  • 比贫穷更可怕的,是心穷 有故事的人 2019-03-07
  • 人民日报社内蒙古分社 2019-03-07
  • 2017年度合肥市政务微信十强名单公布 2019-02-28
  • 展开心中之爱 公益之路福彩与您并肩同行 2019-02-20
  • 客运站卫生间脏乱不堪 当地:已进行了整改 2019-02-14
  • 兵团第十二师三坪农场“民族团结一家亲”让亲戚越走越亲 2019-02-14
  • ——客观唯心主义哲学思想的幸福感和不幸福感则是:人的主观臆断的欲望能否在“神”的制约中满足“好”的感觉。“幸福”就是在“神”的制约中满足了人的主观臆断的欲望而达 2019-02-13
  • 山西日报传媒集团公司(合并)2017年第三季度财务等重大信息 2019-02-13
  • “调图”奏响美好出行新篇章 2019-02-12
  • 苦瓜-热门标签-华商生活 2019-02-08
  • 视频:16小时长效持妆 测YSL墨水气垫限量版 2019-02-07
  • 女性之声——全国妇联 2019-02-06
  • 学思践悟丨修好共产党人“心学” 2019-02-05
  • 刘伯承之子刘蒙谈“立马太行的一代儒将” 2019-02-03
  • 银川:“互联网+政务”加速“放管服”改革 2019-02-03