WebLogic CVE-2018-2628反序列化缝隙复现
颁布功夫 2018-04-18一、缝霞述
2018年4月18日凌晨,Oracle官方颁布了4月份的安全补丁更新CPU(Critical Patch Update),更新中建复了一个高危WebLogic反序列化缝隙CVE-2018-2628(CNVD-2018-07811、CNNVD-201804-803)。攻击者能够在未授权的情况下通过T3和谈对存在缝隙的WebLogic组件进行远程攻击,并可获取指标系统所有权限。
Oracle官方颁布的缝隙信息如下图所示:
二、缝隙验证
mansion88明升ADLab第一功夫对CVE-2018-2628进行了跟踪分析,并成功复现了该缝隙。复现了局如下所示:
三、缝隙影响
该缝隙影响WebLogic 10.3.6.0、WebLogic 12.1.3.0、WebLogic 12.2.1.2、WebLogic 12.2.1.3多个版本。目前已经发现针对该缝隙的利用步骤,利用步骤较为单一,风险较大,有关用户及厂商应引起器沉。
四、缝隙建复
Oracle官方已颁布针对该缝隙的补丁,可更新官方最新的补丁。Oracle官方补丁必要用户持有正版软件的许可帐号,使用许可帐号登陆 https://support.oracle.com 后,能够下载最新补丁。
几点建议:
1、升级JDK版本。由于Java在今年一月份以来更新了反序列化防御接口,能够缓解反序列化缝隙的影响。
2、升级WebLogic、删除不必要的页面,算帐不安全的第三方库。
3、禁用T3和谈。
缝隙链接:
http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html


京公网安备11010802024551号