X
请选择要咨询的内容
下一代防火墙NGAF/云守 上网行为管理AC/SG SSL VPN/EMM IPSec VPN/MIG 广域网优化WOC 应用交付AD 桌面云aDesk 企业级云aCloud
开始咨询

qy8千亿国际

News

深信服,让IT更简单、更安全、更有价值

【漏洞预警】Weblogic反序列化漏洞CVE-2018-2628

/ 2018-04-19

    Oracle官方发布了4月份的关键补丁更新CPU(Critical Patch Update),其中包含一个远程代码执行漏洞,漏洞威胁等级为高危,漏洞对应的CVE编号为CVE-2018-2628。

漏洞描述

    WebLogic是美国Oracle公司出品的一个应用服务器软件(application server),是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。目前Weblogic是商业市场上主要的Java(J2EE)应用服务器软件之一,也是世界上第一个成功商业化的J2EE应用服务器。

漏洞说明

    在 WebLogic 里,InboundMsgAbbrev中的resolveProxyClass是可以对rmi的类型进行处理的,但是只简单判断了java.rmi.registry.Registry,为攻击者提供了绕过黑名单的机会,攻击者可以通过使用其他的rmi来绕过Weblogic的黑名单限制。除此之外,java远程方法协议会序列化一个RemoteObjectInvocationHandler,它会利用UnicastRef和远端建立tcp连接,并获取RMI registry,再将加载的内容利用readObject解析,从而造成反序列化远程代码执行。

影响版本

Oracle WebLogic Server10.3.6.0

Oracle WebLogic Server12.2.1.2

Oracle WebLogic Server12.2.1.3

Oracle WebLogic Server12.1.3.0

威胁等级

本次漏洞利用简单,为高危漏洞。

漏洞复现

触发此漏洞的前提是:

1、使用了Oracle WebLogic Server10.3.6.0,

Oracle WebLogic Server12.2.1.2,

Oracle WebLogic Server12.2.1.3,

Oracle WebLogic Server12.1.3.0中的任何一个版本的weblogic

2、对外开放了weblogic端口


基于这两个前提条件,搭建一套weblogic 10.3.6.0的运行环境如下:




使用深信服云眼检测系统可以发现,此weblogic环境确实存在漏洞:



修复建议

Oracle官方已经在今天的关键补丁更新(CPU)中修复了该漏洞,请受影响用户及时前往下载:通过正版软件的许可账号登陆https://support.oracle.com后,可以下载最新补丁。

深信服解决方案

1、深信服安全云在漏洞爆发之初,已完成检测更新,对所有用户网站探测,保障用户安全。不清楚自身业务是否存在漏洞的用户,可注册深信服云眼账号,获取15天免费安全体验。注册地址为:http://saas.sangfor.com.cn


2、深信服下一代防火墙可轻松防御此漏洞,建议已经部署了深信服下一代防火墙的用户更新到20171122日及以后日期的IPS规则库,并设置防护策略,即可轻松抵御此高危风险。


©2000-2017    深信服科技股份有限公司    版权所有     粤ICP备08126214号-5

深信服科技
深信服科技
博评网