设为首页收藏本站 开启辅助访问
搜索
    查看: 1652|回复: 0

    [安全新闻] 【高危安全预警第55期】Weblogic反序列化远程代码执行漏洞

    [复制链接]
    发表于 2018-10-19 11:37:14 | 显示全部楼层 |阅读模式
    北京时间2018年10月17日,Oracle官方发布了10月份的关键补丁(CPU,Critical Patch Update),其中包含一个高危Weblogic反序列化漏洞(CVE-2018-3245)。该漏洞通过JRMP 协议,利用RMI机制的缺陷达到了执行任意反序列化代码的目的。攻击者可以在未经授权的情况下利用该漏洞,远程发送被封装在T3协议的攻击数据,进而在WebLogic Server中执行反序列化操作,从而达到任意代码执行的目的。

    安全狗攻防实验室第一时间关注了事件进展。根据最新的研究分析,我们总结出了一些防护建议,敬请用户知晓。

    处置建议
    一、官方升级
    Oracle 官方已经在本次的关键补丁更新(CPU)中修复了该漏洞,强烈建议受影响的用户尽快升级更新进行防护。用户可以参考官方提供的修复方式:https://www.oracle.com/technetwo ... ct2018-4428296.html

    二、控制 T3 协议的访问
    此漏洞产生于 WebLogic 的 T3 服务,因此可通过控制 T3 协议的访问来临时阻断针对该漏洞的攻击。当开放 WebLogic 控制台端口(默认为 7001 端口)时,T3 服务会默认开启。具体操作如下:
    (1)进入 WebLogic 控制台,在 base_domain 的配置页面中,进入“安全”选项卡页面,点击“筛选器”选项卡,进入连接筛选器配置
    (2)在连接筛选器中输入:“weblogic.security.net.ConnectionFilterImpl”,在连接筛选器规则中输入:“127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s”(使得t3 和 t3s 协议的所有端口只允许本地访问)。
    (3)保存后需重新启动,规则方可生效。
    微信图片_20181018114640.jpg

    三、升级 JDK 版本
    建议用户将 JDK 升级到 jdk-8u20 以上的版本

    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    QQ|小黑屋|Archiver|手机版|安全狗论坛-汇聚安全的力量 ( 闽ICP备14014139号-1  

    GMT+8, 2018-12-13 10:46 , Processed in 0.112454 second(s), 25 queries .

    Powered by Discuz! X3.2

    © 2001-2013 Comsenz Inc.

    快速回复 返回顶部 返回列表