WebLogic CVE-2018-2628反序列化缝隙复现

颁布功夫 2018-04-18

一、缝霞述

        2018年4月18日凌晨 ,Oracle官方颁布了4月份的安全补丁更新CPU(Critical Patch Update) ,更新中建复了一个高危WebLogic反序列化缝隙CVE-2018-2628(CNVD-2018-07811、CNNVD-201804-803)。攻击者能够在未授权的情况下通过T3和谈对存在缝隙的WebLogic组件进行远程攻击 ,并可获取指标系统所有权限。

        Oracle官方颁布的缝隙信息如下图所示:

mansion88明升|主页

二、缝隙验证

        mansion88明升ADLab第一功夫对CVE-2018-2628进行了跟踪分析 ,并成功复现了该缝隙。复现了局如下所示:

mansion88明升|主页

三、缝隙影响

        该缝隙影响WebLogic 10.3.6.0、WebLogic 12.1.3.0、WebLogic 12.2.1.2、WebLogic 12.2.1.3多个版本。目前已经发现针对该缝隙的利用步骤 ,利用步骤较为单一 ,风险较大 ,有关用户及厂商应引起器沉。

四、缝隙建复

        Oracle官方已颁布针对该缝隙的补丁 ,可更新官方最新的补丁。Oracle官方补丁必要用户持有正版软件的许可帐号 ,使用许可帐号登陆 https://support.oracle.com 后 ,能够下载最新补丁。

        几点建议:

        1、升级JDK版本。由于Java在今年一月份以来更新了反序列化防御接口 ,能够缓解反序列化缝隙的影响。

        2、升级WebLogic、删除不必要的页面 ,算帐不安全的第三方库。

        3、禁用T3和谈。


缝隙链接:

http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html