CNNVD 關(guān)于Oracle WebLogic Server遠程代碼執(zhí)行漏洞的通報

近日，國家信息安全漏洞庫（CNNVD）收到Oracle WebLogic Server遠程代碼執(zhí)行漏洞（CNNVD-201810-781、CVE-2018-3245）情況的報送。攻擊者可利用該漏洞在未授權(quán)的情況下發(fā)送攻擊數(shù)據(jù)，通過T3協(xié)議在WebLogic Server中執(zhí)行反序列化操作,最終實現(xiàn)遠程代碼執(zhí)行。WebLogic Server 10.3.6.0、12.1.3.0、12.2.1.2、12.2.1.3等版本均受漏洞影響。目前， Oracle官方已經(jīng)發(fā)布補丁修復了漏洞，建議用戶及時確認是否受到漏洞影響，盡快采取修補措施。

一、漏洞介紹

Oracle WebLogic Server是美國甲骨文（Oracle）公司開發(fā)的一款適用于云環(huán)境和傳統(tǒng)環(huán)境的應用服務中間件，它提供了一個現(xiàn)代輕型開發(fā)平臺，支持應用從開發(fā)到生產(chǎn)的整個生命周期管理，并簡化了應用的部署和管理。

Oracle WebLogic Server存在遠程代碼執(zhí)行漏洞（CNNVD-201810-781、CVE-2018-3245）。該漏洞通過JRMP協(xié)議利用RMI機制的缺陷達到遠程代碼執(zhí)行的目的。攻擊者可以在未授權(quán)的情況下將payload封裝在T3協(xié)議中，通過對T3協(xié)議中的payload進行反序列化，從而實現(xiàn)對存在漏洞的WebLogic組件進行遠程攻擊，執(zhí)行任意代碼，并獲取目標系統(tǒng)的所有權(quán)限。

二、危害影響

攻擊者可利用漏洞在未授權(quán)的情況下發(fā)送攻擊數(shù)據(jù)，通過T3協(xié)議在WebLogic Server中執(zhí)行反序列化操作,最終實現(xiàn)遠程代碼執(zhí)行。該漏洞涉及了多個版本，具體受影響版本如下：

 三、修復建議

目前， Oracle官方已經(jīng)發(fā)布補丁修復了漏洞，建議用戶及時確認是否受到漏洞影響，盡快采取修補措施。

1、Oracle官方更新鏈接如下：

https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html

2、臨時解決方案

通過設(shè)置weblogic.security.net.ConnectionFilterImpl默認連接篩選器，對T3/T3s協(xié)議的訪問權(quán)限進行配置，阻斷漏洞利用途徑。具體如下：

（a）進入WebLogic控制臺，在base_domain的配置頁面中，進入“安全”選項卡頁面，點擊“篩選器”，進入連接篩選器配置。

（b）在連接篩選器中輸入：WebLogic.security.net.ConnectionFilterImpl，在連接篩選器規(guī)則中輸入：* * 7001 deny t3 t3s

（c）保存后重新啟動即可生效。

CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況，及時發(fā)布相關(guān)信息。如有需要，可與CNNVD聯(lián)系。

聯(lián)系方式: cnnvd@itsec.gov.cn