【原创误差】鉴黑担保网9.8分Weblogic反序列化误差CVE-2018-3245补丁推出

宣布时间 2018-10-17

误差概述

Oracle官方宣布了10月份的要害补丁更新CPU（Critical Patch Update），，，其中包括一个鉴黑担保网ADLab清静研究职员发明并转达给Oracle的高危远程代码执行误差（CVE-2018-3245），，，通过该误差攻击者可以在未授权的情形下远程执行恣意代码。。。。。。。该误差通过JRMP 协议使用RMI机制的缺陷抵达执行恣意反序列化代码的目的。。。。。。。攻击者可以在未授权的情形下将payload封装在T3协议中，，，通过对T3协议中的payload举行反序列化，，，从而实现对保存误差的WebLogic组件举行远程攻击，，，执行恣意代码并可获取目的系统的所有权限。。。。。。。

Oracle 10月份宣布的清静通告中涉及WebLogic 相关误差12个，，，并且CVSS V3评分在9.8以上的均与T3协议有关。。。。。。。鉴于WebLogic T3协议误差频发，，，并且保存未修复的0day误差，，，需实时更新清静补丁，，，并且禁用T3协议。。。。。。。

误差影响规模

WebLogic 10.3.6.0
WebLogic 12.1.3.0
WebLogic 12.2.1.2
WebLogic 12.2.1.3
以上均为官方支持的版本。。。。。。。

基础知识

T3协议

WebLogic Server 中的 RMI 通讯使用 T3 协议在WebLogic Server和其他 Java程序（包括客户端及其他 WebLogic Server 实例）间传输数据（序列化的类）。。。。。。。由于WebLogic的T3协媾和Web协议共用统一个端口，，，因此只要能会见WebLogic就可使用T3协议实现payload和目的效劳器的通讯。。。。。。。

JRMP协议
RMI现在使用Java远程新闻交流协议JRMP（Java Remote Messaging Protocol）举行通讯。。。。。。。JRMP协议是专为Java的远程工具制订的协议。。。。。。。

误差简析

在今年7月份的补丁中，，，WebLogic修补了CVE-2018-2893这个误差，，，为了阻止恶意反序列化，，，WebLogic的黑名单由之前的8个酿成了11个。。。。。。。如下图所示：

但经由鉴黑担保网ADLab清静研究职员深入研究剖析后发明，，，仍然保存可以实现RMI反序列化的类可以Bypass这些黑名单，，，并且相关类数目众多。。。。。。。ADLab第一时间转达给Oracle官方并获得响应的误差编号（CVE-2018-3245）。。。。。。。

解决计划

关注Oracle官方CPU更新补丁

控制T3协议的会见

此误差爆发于WebLogic的T3效劳，，，因此可通过控制T3协议的会见来暂时阻断针对该误差的攻击。。。。。。。当开放WebLogic控制台端口（默以为7001端口）时，，，T3效劳会默认开启。。。。。。。

详细操作：
（1）进入WebLogic控制台，，，在base_domain的设置页面中，，，进入“清静”选项卡页面，，，点击“筛选器”，，，进入毗连筛选器设置。。。。。。。
（2）在毗连筛选器中输入：weblogic.security.net.ConnectionFilterImpl，，，在毗连筛选器规则中输入：127.0.0.1 * * allow t3 t3s，，，0.0.0.0/0 * * deny t3 t3s（t3和t3s协议的所有端口只允许外地会见）。。。。。。。
（3）生涯后需重新启动，，，规则方可生效。。。。。。。

升级到 jdk-8u20以上的版本

参考链接：
https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

【原创误差】鉴黑担保网9.8分Weblogic反序列化误差CVE-2018-3245补丁推出

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线