漏洞預警 | WebLogic 多個高危漏洞

摘要： 事件來源 Oracle 官方在 10 月 16 日釋出了嚴重補丁更新 CPU（Critical Patch Update），其中有 5 個針對 WebLogic Server 的高危漏洞，官方危害評級 9.8 分： https://www. oracle.com/te...

事件來源

Oracle 官方在 10 月 16 日釋出了嚴重補丁更新 CPU（Critical Patch Update），其中有 5 個針對 WebLogic Server 的高危漏洞，官方危害評級 9.8 分：

ofollow,noindex"> https://www. oracle.com/technetwork/ security-advisory/cpuoct2018-4428296.html

漏洞描述

• CVE-2018-3191
• CVE-2018-3197
• CVE-2018-3201
• CVE-2018-3245
• CVE-2018-3252

上述 5 個漏洞都是官方危害評級 9.8 分的高危漏洞，並且可以在遠端並且未授權的狀態下進行利用。它們均針對 WebLogic Server 的 WSL 核心元件，並通過 T3 協議進行利用。

儘管目前暫無漏洞相關具體資訊，不過根據 WebLogic 以往的歷史漏洞，可以判斷這些漏洞仍是針對 WebLogic 反序列化類黑名單進行繞過。攻擊者通過利用 T3 協議對反序列化物件進行封裝發到 WebLogic 服務埠，當 WebLogic 服務端對 T3 協議資料進行處理時，即會觸發反序列化漏洞。

影響範圍

• CVE-2018-3191 影響 WebLogic 10.3.6.0, 12.1.3.0, 12.2.1.3 版本。
• CVE-2018-3197 影響 WebLogic 12.1.3.0 版本。
• CVE-2018-3201 影響 WebLogic 12.2.1.3 版本。
• CVE-2018-3245 影響 WebLogic 10.3.6.0, 12.1.3.0, 12.2.1.3 版本。
• CVE-2018-3252 影響 WebLogic 10.3.6.0, 12.1.3.0, 12.2.1.3 版本。

解決方案

由於 WebLogic 基於 T3/T3S 協議利用的反序列化漏洞層出不窮，在確認不影響業務的情況下可以考慮配置 WebLogic 對外部禁用 T3/T3S 協議。

配置 WebLogic 對外部禁用 T3/T3S 協議的具體步驟：

登入 WebLogic 控制檯，在對應域設定中選擇 “安全”-“篩選器” 選項卡：

在 “連線篩選器” 輸入框中輸入：

weblogic.security.net.ConnectionFilterImpl

在 “連線篩選器規則” 輸入框中輸入（即配置為僅允許本機使用 T3/T3S 協議通訊，禁用除本機以外其他主機使用 T3/T3S 協議通訊）：

127.0.0.1 * * allow t3 t3s

0.0.0.0/0 * * deny t3 t3s

輸入後儲存提交即可。

參考資料

https://www. oracle.com/technetwork/ security-advisory/cpuoct2018-4428296.html

長 亭 應 急 響 應 服 務

全力進行產品升級

及時將預警預案發送給客戶

檢測業務是否受到此次漏洞影響

請聯絡長亭應急團隊

7*24小時，守護您的安全！

第一時間找到我們：

郵箱：[email protected]

應急響應熱線：4000-327-707