溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

Oracle Weblogic Server Java反序列化漏洞(CVE-2018-2628)修復(fù)指南

發(fā)布時(shí)間:2020-08-09 22:36:52 來源:ITPUB博客 閱讀:429 作者:edge_dba 欄目:關(guān)系型數(shù)據(jù)庫

WebLogic序列化漏洞CVE-2018-2628安全預(yù)警

 

TAG

Oracle WebLogicCVE-2018-2628、反序列化

關(guān)注級(jí)別

紅,此漏洞利用簡單,可直接獲取系統(tǒng)控制權(quán)限,存在被攻擊者挖礦利用的可能性

發(fā)布日期

2018-4-18

版本

V1.0

 

 一.      漏洞概述

北京時(shí)間418日凌晨,Oracle官方發(fā)布了4月份的關(guān)鍵補(bǔ)丁更新CPUCritical Patch Update,其中包含一個(gè)高危的遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2018-2628),通過該漏洞,攻擊者可以在未授權(quán)的情況下遠(yuǎn)程執(zhí)行任意代碼。

CVSS 評(píng)分:9.8CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

二.      影響范圍

受影響的版本

l  Weblogic 10.3.6.0

l  Weblogic 12.1.3.0

l  Weblogic 12.2.1.2

l  Weblogic 12.2.1.3

以上均為官方支持的版本

 

三.      漏洞防護(hù)

若通過Nginx/Apache配置反向代理的方式訪問Weblogic應(yīng)用,就限制了Weblogic T3的直接訪問,此漏洞也將不能直接被利用。

3.1         補(bǔ)丁修復(fù)

官方在4月份發(fā)布的關(guān)鍵補(bǔ)丁更新中已對(duì)此漏洞進(jìn)行了修復(fù)??蓞⒖兼溄樱?/span>

http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html

補(bǔ)丁更新操作可參考鏈接:

https://docs.oracle.com/middleware/12213/lcm/OPATC/GUID-56D6728D-5EDC-482B-B2E4-DDB20A64FA32.htm#OPATC143

 

可以通過升級(jí)weblogic對(duì)應(yīng)補(bǔ)丁的方法進(jìn)行漏洞修復(fù)。

3.2         推薦配置黑名單解決方案

可通過控制T3協(xié)議的訪問來臨時(shí)阻斷針對(duì)該漏洞的攻擊。WebLogic Server 提供了名為 weblogic.security.net.ConnectionFilterImpl 的默認(rèn)連接篩選器,此連接篩選器接受所有傳入連接,可通過此連接篩選器配置規(guī)則,對(duì)t3t3s協(xié)議進(jìn)行訪問控制,詳細(xì)操作步驟如下:

1.      進(jìn)入Weblogic控制臺(tái),在base_domain的配置頁面中,進(jìn)入安全選項(xiàng)卡頁面,點(diǎn)擊篩選器,進(jìn)入連接篩選器配置。

2.      在連接篩選器中輸入:weblogic.security.net.ConnectionFilterImpl,在連接篩選器規(guī)則中輸入:* * 7001 deny t3 t3s

Oracle Weblogic Server Java反序列化漏洞(CVE-2018-2628)修復(fù)指南

連接篩選器內(nèi)容輸入:

127.0.0.1 * 7001 allow

192.168.1.100 * 7001 allow

* * 7001 deny t3 t3s

* * 8080 deny t3 t3s

說明:

配置的目的是,僅允許服務(wù)器自己及集群內(nèi)的服務(wù)器通過t3協(xié)議連接此服務(wù)器。禁止來自于其他IP地址的通過t3t3s協(xié)議連接相應(yīng)的端口。

假定:控制臺(tái)端口為7001,192.168.1.100 為服務(wù)器的真實(shí)IP地址,如有集群內(nèi)的服務(wù)器通過控制臺(tái)端口互訪,也需要增加上相應(yīng)的IP地址,8080為應(yīng)用服務(wù)端口。

如果配置錯(cuò)誤,可能導(dǎo)致服務(wù)啟動(dòng)失敗。如果服務(wù)啟動(dòng)失敗,可以修改config/config.xml文件內(nèi)容,恢復(fù)或修正配置。

 

3.      保存規(guī)則之后激活更改。

Oracle Weblogic Server Java反序列化漏洞(CVE-2018-2628)修復(fù)指南

 

Oracle Weblogic Server Java反序列化漏洞(CVE-2018-2628)修復(fù)指南

 

連接篩選器規(guī)則格式如:target localAddress localPort action protocols,其中:

l   target 指定一個(gè)或多個(gè)要篩選的服務(wù)器。

l   localAddress 可定義服務(wù)器的主機(jī)地址。(如果指定為一個(gè)星號(hào) (*),則返回的匹配結(jié)果將是所有本地 IP 地址。)

l   localPort 定義服務(wù)器正在監(jiān)聽的端口。(如果指定了星號(hào),則匹配返回的結(jié)果將是服務(wù)器上所有可用的端口)。

l   action 指定要執(zhí)行的操作。(值必須為“allow”“deny”)

l  protocols 是要進(jìn)行匹配的協(xié)議名列表。(必須指定下列其中一個(gè)協(xié)議:http、https、t3、t3s、giopgiopsdcom ftp。) 如果未定義協(xié)議,則所有協(xié)議都將與一個(gè)規(guī)則匹配。

 

4.      重啟服務(wù)。

 

single:/home/oracle@db> ps -ef | grep weblogic

root      5038  5012  0 10:00 pts/2    00:00:00 su - weblogic

weblogic  5039  5038  0 10:00 pts/2    00:00:00 -bash

weblogic  5623  5039  0 10:41 pts/2    00:00:00 /bin/sh ./startWebLogic.sh

weblogic  5624  5623  0 10:41 pts/2    00:00:00 /bin/sh /weblogic/Oracle/Middleware/user_projects/domains/weblogic/bin/startWebLogic.sh

weblogic  5674  5624 99 10:42 pts/2    00:00:31 /usr/java/jdk1.8.0_20/bin/java -server -Xms256m -Xmx512m -XX:MaxPermSize=256m -Dweblogic.Name=AdminServer -Djava.security.policy=/weblogic/Oracle/Middleware/wlserver_10.3/server/lib/weblogic.policy -Dweblogic.ProductionModeEnabled=true -da -Dplatform.home=/weblogic/Oracle/Middleware/wlserver_10.3 -Dwls.home=/weblogic/Oracle/Middleware/wlserver_10.3/server -Dweblogic.home=/weblogic/Oracle/Middleware/wlserver_10.3/server -Dweblogic.management.discover=true -Dwlw.iterativeDev=false -Dwlw.testConsole=false -Dwlw.logErrorsToConsole=false -Dweblogic.ext.dirs=/weblogic/Oracle/Middleware/patch_wls1036/profiles/default/sysext_manifest_classpath:/weblogic/Oracle/Middleware/patch_ocp371/profiles/default/sysext_manifest_classpath -Dweblogic.management.username=weblogic -Dweblogic.management.password=weblogic_123 weblogic.Server

root      5716  4743  0 10:42 pts/1    00:00:00 grep weblogic

single:/home/oracle@db> kill -9 5674

single:/home/oracle@db> su - weblogic

single:/weblogic/Oracle/Middleware/user_projects/domains/weblogic@weblogic> nohup ./startWebLogic.sh &

[1] 5835

single:/weblogic/Oracle/Middleware/user_projects/domains/weblogic@weblogic> nohup: ignoring input and appending output to `nohup.out'

single:/weblogic/Oracle/Middleware/user_projects/domains/weblogic@weblogic>

 

通過配置黑名單的方式也可以解決這個(gè)問題。

四.      漏洞影響排查

4.1         版本檢查

使用如下命令對(duì)WebLogic版本進(jìn)行排查

$ cd /lopt/bea92sp2/weblogic92/server/lib

$ java -cp weblogic.jar weblogic.version

此漏洞影響到Oracle官方現(xiàn)支持的所有版本,使用Weblogic中間件的企業(yè)還需檢測(cè)是否對(duì)互聯(lián)網(wǎng)開放了Weblogic端口(默認(rèn)為7001端口和7002端口),如果Weblogic T3服務(wù)可被遠(yuǎn)程訪問。則存在漏洞風(fēng)險(xiǎn),請(qǐng)受影響的用戶及時(shí)進(jìn)行加固。漏洞利用排查

當(dāng)Weblogic中間件受到攻擊時(shí),會(huì)報(bào)出類轉(zhuǎn)換異常,并在AdminServer.log日志中輸出異常信息。因此,通過查看AdminServer.log文件,可以判斷Weblogic服務(wù)器是否有被此漏洞利用的情況。

AdminServer.log存放的位置為:

\Oracle\Middleware\Oracle_Home\user_projects\domains\base_domain\servers\AdminServer\logs\AdminServer.log


向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI