WebLogic反序列化远程命令执行漏洞

今天推火专家seo博客和朋友们分享的主题是关于WebLogic反序列化远程命令执行漏洞，该内容的主要部分摘自百度百科及百度安全指数，感兴趣的朋友可以关注一下。，WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。

WebLogic是美商Oracle的主要产品之一，是并购BEA得来。是商业市场上主要的Java（J2EE）应用服务器软件（application server）之一，是世界上第一个成功商业化的J2EE应用服务器, 已推出到12c(12.2.1.3) 版。而此产品也延伸出WebLogic Portal，WebLogic Integration等企业用的中间件（但当下Oracle主要以Fusion Middleware融合中间件来取代这些WebLogic Server之外的企业包），以及OEPE(Oracle Enterprise Pack for Eclipse)开发工具。

漏洞描述

2018年7月18日，oracle官方在季度补丁里修复了一个远程代码执行漏洞(CVE-2018-2893)，该漏洞通过JRMP协议利用RMI的机制缺陷达到执行任意代码的目的。

影响版本

Oracle WebLogic Server 10.3.6.0

Oracle WebLogic Server 12.1.3.0

Oracle WebLogic Server 12.2.1.2

Oracle WebLogic Server 12.2.1.3

漏洞等级:

高危

漏洞分析

因为软件的设计原因，weblogic由于反序列化引起的代码执行漏洞已经多次出现，本次漏洞就是因为weblogic server中默认支持RMI通信机制，导致攻击者可以利用T3协议传递恶意构造的payload对主机发起攻击，并且RMI通信机制利用的T3协议端口与web端口一致，加剧了漏洞的危害性。

临时技术解决方案

控制T3协议的访问来源

实施步骤

1、进入WebLogic控制台，在base_doma的配置页面中，进入“安全”选项卡页面，点击“筛选器”，进入连接筛选器配置。

2、在连接筛选器中输入weblogic.security..ConnectionFilterImpl，在连接筛选器规则中输入127.0.0.1 allow t3 t3s，0.0.0.0/0 deny t3 t3s（t3和t3s协议的所有端口只允许本地访问）。

3、保存后需重新启动，规则方可生效。

解决方案

关注oracle官方更新补丁。

了解更多

http://.freebuf./vuls/177868.html