今天小凯seo博客和朋友们分享的主题是关于WebLogic反序列化远程命令执行漏洞,该内容的主要部分摘自百度百科及百度安全指数,感兴趣的朋友可以关注一下。首先,WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
WebLogic是美商Oracle的主要产品之一,是并购BEA得来。是商业市场上主要的Java(J2EE)应用服务器软件(application server)之一,是世界上第一个成功商业化的J2EE应用服务器, 已推出到12c(12.2.1.3) 版。而此产品也延伸出WebLogic Portal,WebLogic Integration等企业用的中间件(但当下Oracle主要以Fusion Middleware融合中间件来取代这些WebLogic Server之外的企业包),以及OEPE(Oracle Enterprise Pack for Eclipse)开发工具。
漏洞描述:
2018年7月18日,oracle官方在季度补丁里修复了一个远程代码执行漏洞(CVE-2018-2893),该漏洞通过JRMP协议利用RMI的机制缺陷达到执行任意代码的目的。
影响版本:
Oracle WebLogic Server 10.3.6.0
Oracle WebLogic Server 12.1.3.0
Oracle WebLogic Server 12.2.1.2
Oracle WebLogic Server 12.2.1.3
漏洞等级:
高危
漏洞分析:
因为软件的设计原因,weblogic由于反序列化引起的代码执行漏洞已经多次出现,本次漏洞就是因为weblogic server中默认支持RMI通信机制,导致攻击者可以利用T3协议传递恶意构造的payload对主机发起攻击,并且RMI通信机制利用的T3协议端口与web端口一致,加剧了漏洞的危害性。
临时技术解决方案:
控制T3协议的访问来源
实施步骤:
1、进入WebLogic控制台,在base_domain的配置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。
2、在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则中输入:127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s(t3和t3s协议的所有端口只允许本地访问)。
3、保存后需重新启动,规则方可生效。
解决方案:
关注oracle官方更新补丁。
了解更多:
http://www.freebuf.com/vuls/177868.html