【漏洞預警】CNNVD 關于Oracle WebLogic Server WLS核心組件遠程代碼執行

近日，國家信息安全漏洞庫（CNNVD）收到Oracle WebLogic Server WLS核心組件遠程代碼執行漏洞（CNNVD-201807-1276、CVE-2018-2893）情況的報送。遠程攻擊者可利用該漏洞在未授權的情況下發送攻擊數據，通過T3協議在WebLogic Server中執行反序列化操作,實現任意代碼執行。該漏洞是由于Oracle一個歷史漏洞WeblogicServer反序列化漏洞（CNNVD-201804-803、CVE-2018-2628）修補不完善導致，CNNVD已于4月發布了該漏洞預警。WebLogic Server 10.3.6.0、12.1.3.0、12.2.1.2、12.2.1.3等版本均受漏洞影響。目前， Oracle官方已發布補丁修復了該漏洞，建議用戶及時確認是否受到漏洞影響，盡快采取修補措施。

一、漏洞介紹 Oracle WebLogic Server是美國甲骨文（Oracle）公司開發的一款適用于云環境和傳統環境的應用服務中間件，它提供了一個現代輕型開發平臺，支持應用從開發到生產的整個生命周期管理，并簡化了應用的部署和管理。在WebLogic 的 RMI（遠程方法調用）通信中，T3協議用來在 WebLogic Server 和其他 Java 程序間傳輸數據，該協議在開放WebLogic控制臺端口的應用上默認開啟。 北京時間7月18日凌晨，Oracle官方發布了7月份關鍵補丁更新CPU（Critical Patch Update），其中修復了一個在4月份CPU補丁中未能完全修復的WeblogicServer反序列化漏洞（CNNVD-201804-803、CVE-2018-2628）。攻擊者可以在未經授權的情況下，遠程發送攻擊數據，通過T3協議在WebLogic Server中執行反序列化操作，反序列過程中會遠程加載RMI registry，加載回來的registry又會被反序列化執行，最終實現了遠程代碼的執行。

二、危害影響 攻擊者可利用漏洞在未授權的情況下遠程發送攻擊數據，通過T3協議在WebLogic Server中執行反序列化操作,最終實現遠程代碼執行。該漏洞涉及了多個版本，具體受影響版本如下：

Oracle WebLogic Server 10.3.6.0 Oracle WebLogic Server 12.1.3.0 Oracle WebLogic Server 12.2.1.2 Oracle WebLogic Server 12.2.1.3

三、修復建議 目前，Oracle官方已經發布補丁修復該漏洞，請用戶及時檢查產品版本，如確認受到漏洞影響，可安裝補丁進行防護。 1、Oracle官方更新鏈接如下： http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html 2、臨時解決方案 通過設置weblogic.security.net.ConnectionFilterImpl默認連接篩選器，對T3/T3s協議的訪問權限進行配置，阻斷漏洞利用途徑。具體如下： （a）進入WebLogic控制臺，在base_domain的配置頁面中，進入“安全”選項卡頁面，點擊“篩選器”，進入連接篩選器配置。 （b）在連接篩選器中輸入：WebLogic.security.net.ConnectionFilterImpl，在連接篩選器規則中輸入：* * 7001 deny t3 t3s （c）保存后規則即可生效，無需重新啟動。 來源：國家信息安全漏洞庫