一、背景介绍
WebLogic是美国Oracle公司出品的一个Application Server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
1.1漏洞描述
近日研究人员发现了一个Oracle WebLogic Server的远程代码执行漏洞(CVE-2018-2893),通过该漏洞攻击者可以在未授权的情况下远程执行任意代码。该漏洞主要利用JDK反序列化漏洞结合JRMP协议漏洞(CVE-2018-2628)绕过了黑名单限制,JDK7u21、JDK8u20之前的版本都存在此漏洞。攻击者可以在未授权的情况下将Payload封装在T3协议中,通过对T3协议中的Payload进行反序列化,从而实现对存在漏洞的WebLogic组件进行远程攻击,执行任意代码并可获取目标系统的所有权限。
1.2漏洞编号
CVE-2018-2893
1.3漏洞等级
高危
二、修复建议
2.1受影响版本
WebLogic 10.3.6.0
WebLogic 12.1.3.0
WebLogic 12.2.1.2
WebLogic 12.2.1.3
2.2漏洞检测
检查WebLogic的版本号是否为受影响版本。
检查是否开启了WebLogic的T3服务。
2.3解决方案
***前提是最新补丁***
1.过滤T3协议
2.设置Nginx反向代理
3.升级到最新JDK
JEP290(JDK8u121,7u131,6u141)