首頁 > 新聞資訊 > 互聯網安全公告 > 詳情信息

關于Oracle WebLogic Server存在反序列化遠程代碼執行漏洞的安全公告

發布時間:2018-09-19 11:23:26

新聞來源:國家互聯網應急中心

安全公告編號:CNTA-2018-0022

2018年7月18日,國家信息安全漏洞共享平臺(CNVD)收錄了Oracle WebLogic Server反序列化遠程代碼執行漏洞(CNVD-2018-13334,對應CVE-2018-2893)。攻擊者利用該漏洞,可在未授權的情況下遠程執行代碼。目前廠商已發布補丁進行修復。

一、漏洞情況分析

WebLogicServer是美國甲骨文(Oracle)公司開發的一款適用于云環境和傳統環境的應用服務中間件,它提供了一個現代輕型開發平臺,支持應用從開發到生產的整個生命周期管理,并簡化了應用的部署和管理。RMI目前使用Java遠程消息交換協議JRMP(Java Remote Messaging Protocol)進行通信,JRMP協議是專為Java的遠程對象制定的協議。在WebLogic Server的 RMI(遠程方法調用)通信中,T3協議(豐富套接字)用來在 WebLogic Server 和其他 Java 程序(包括客戶端及其他 WebLogic Server 實例)間傳輸數據,該協議在開放WebLogic控制臺端口的應用上默認開啟。由于在WebLogic中,T3協議和Web協議共用同一個端口,因此只要能訪問WebLogic就可利用T3協議,將payload發送至目標服務器。

北京時間7月18日凌晨,Oracle官方發布了7月份關鍵補丁更新CPU(Critical Patch Update),其中修復了一個在4月份CPU補丁中未能完全修復的WeblogicServer反序列化漏洞(CNVD-2018-07811,CVE-2018-2628)。該漏洞通過JRMP協議利用RMI機制的缺陷達到執行任意反序列化代碼的目的。攻擊者可以在未授權的情況下將payload封裝在T3協議中,通過對T3協議中的payload進行反序列化,從而實現對存在漏洞的WebLogic組件進行遠程攻擊,執行任意代碼并可獲取目標系統的所有權限。

CNVD對該漏洞的綜合評級為“高危”。

二、漏洞影響范圍

根據官方公告情況,該漏洞的影響版本如下:

WebLogic 10.3.6.0

WebLogic 12.1.3.0

WebLogic 12.2.1.2

WebLogic 12.2.1.3

CNVD秘書處對WebLogic服務在全球范圍內的分布情況進行了統計,結果顯示該服務的全球規模約為6.9萬,其中我國境內的用戶量約為2.15萬。隨機抽樣檢測結果顯示,約0.4%的WebLogic服務器受此漏洞影響。該比例遠低于我平臺在4月18日收錄的WebLogic Server反序列化漏洞(CNVD-2018-07811)的影響范圍。

三、漏洞處置建議

1、美國甲骨文公司已發布了修復補丁,建議及時更新至最新版本:http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

2臨時解決方案:控制T3協議的訪問

此漏洞產生于WebLogicT3服務,因此可通過控制T3協議的訪問來臨時阻斷針對該漏洞的攻擊。當開放WebLogic控制臺端口(默認為7001端口)時,T3服務會默認開啟。

具體操作:

(1)進入WebLogic控制臺,在base_domain的配置頁面中,進入“安全”選項卡頁面,點擊“篩選器”,進入連接篩選器配置。

2)在連接篩選器中輸入:weblogic.security.net.ConnectionFilterImpl,在連接篩選器規則中輸入:127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * *deny t3 t3s(t3和t3s協議的所有端口只允許本地訪問)。

(3)保存后需重新啟動,規則方可生效。

3、升級到 jdk-8u20以上的版本。

 

附:參考鏈接:

http://www.cnvd.org.cn/flaw/show/CNVD-2018-13334

http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html