<object id="cou4m"></object>
<input id="cou4m"><label id="cou4m"></label></input>
  • <bdo id="cou4m"></bdo>
  • <bdo id="cou4m"></bdo>
  • <code id="cou4m"></code>
  • <menu id="cou4m"></menu>
  • <s id="cou4m"></s>
  • <bdo id="cou4m"><nav id="cou4m"></nav></bdo>
  • <strong id="cou4m"></strong>
  • <nav id="cou4m"><samp id="cou4m"></samp></nav>
  • <bdo id="cou4m"><blockquote id="cou4m"></blockquote></bdo>
  • <input id="cou4m"><blockquote id="cou4m"></blockquote></input>
  • <menu id="cou4m"><samp id="cou4m"></samp></menu>
  • 關于WebLogic Server WLS核心組件存在反序列化漏洞的安全公告

    發布時間:2018-04-23

    2018年4月18日,國家信息安全漏洞共享平臺(CNVD)收錄了WebLogic Server WLS核心組件反序列化漏洞(CNVD-2018-07811,對應CVE-2018-2628)。攻擊者利用該漏洞,可在未授權的情況下遠程執行代碼。漏洞驗證代碼已被公開,近期被不法分子利用進行大規模攻擊的可能性較大,廠商已發布補丁進行修復。

    一、漏洞情況分析

    WebLogic Server是美國甲骨文(Oracle)公司開發的一款適用于云環境和傳統環境的應用服務中間件,它提供了一個現代輕型開發平臺,支持應用從開發到生產的整個生命周期管理,并簡化了應用的部署和管理。在WebLogic Server 的 RMI(遠程方法調用)通信中,T3協議(豐富套接字)用來在 WebLogic Server 和其他 Java 程序(包括客戶端及其他 WebLogic Server 實例)間傳輸數據,該協議在開放WebLogic控制臺端口的應用上默認開啟。

    2018年4月18日凌晨,Oracle官方發布了4月份關鍵補丁更新CPU(Critical Patch Update),其中包含該Weblogic反序列化高危漏洞。利用該漏洞,攻擊者可以在未經授權的情況下,遠程發送攻擊數據,通過T3協議在WebLogic Server中執行反序列化操作,反序列過程中會遠程加載RMI registry,加載回來的registry又會被反序列化執行,最終實現了遠程代碼的執行。

    CNVD對該漏洞的綜合評級為“高危”。 

    二、漏洞影響范圍

    根據官方公告情況,該漏洞的影響版本如下:

    WebLogic 10.3.6.0

    WebLogic 12.1.3.0

    WebLogic 12.2.1.2

    WebLogic 12.2.1.3

    CNVD秘書處組織對WebLogic服務在全球范圍內的分布情況進行了統計,結果顯示該服務的全球規模約為6.9萬,其中我國境內的用戶量約為1.2萬。隨機抽樣檢測結果顯示,大約為6%的WebLogic服務受此漏洞影響。

    三、漏洞處置建議

    1、臨時修復建議:通過設置weblogic.security.net.ConnectionFilterImpl默認連接篩選器,對T3/T3s協議的訪問權限進行配置,阻斷漏洞利用途徑。

    2、美國甲骨文公司已發布了修復補丁,建議及時更新至最新版本:http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html。

    附:參考鏈接:

    http://www.cnvd.org.cn/flaw/show/CNVD-2018-07811

    http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html

    http://toutiao.secjia.com/cve-2018-2628

    感謝CNVD技術組成員單位——綠盟科技公司為本公告提供技術支持。(來源:CNCERT)


    聯系電話:010-62199788
    公司地址:北京市昌平區七北路TBD云集中心(42號院)16號樓
    Copyright 2015-2020 長安通信科技有限責任公司版權所有 All Rights Reserved 京ICP備13045911號

    掃碼關注

    贵州十一选五中奖规则
    <object id="cou4m"></object>
    <input id="cou4m"><label id="cou4m"></label></input>
  • <bdo id="cou4m"></bdo>
  • <bdo id="cou4m"></bdo>
  • <code id="cou4m"></code>
  • <menu id="cou4m"></menu>
  • <s id="cou4m"></s>
  • <bdo id="cou4m"><nav id="cou4m"></nav></bdo>
  • <strong id="cou4m"></strong>
  • <nav id="cou4m"><samp id="cou4m"></samp></nav>
  • <bdo id="cou4m"><blockquote id="cou4m"></blockquote></bdo>
  • <input id="cou4m"><blockquote id="cou4m"></blockquote></input>
  • <menu id="cou4m"><samp id="cou4m"></samp></menu>
  • <object id="cou4m"></object>
    <input id="cou4m"><label id="cou4m"></label></input>
  • <bdo id="cou4m"></bdo>
  • <bdo id="cou4m"></bdo>
  • <code id="cou4m"></code>
  • <menu id="cou4m"></menu>
  • <s id="cou4m"></s>
  • <bdo id="cou4m"><nav id="cou4m"></nav></bdo>
  • <strong id="cou4m"></strong>
  • <nav id="cou4m"><samp id="cou4m"></samp></nav>
  • <bdo id="cou4m"><blockquote id="cou4m"></blockquote></bdo>
  • <input id="cou4m"><blockquote id="cou4m"></blockquote></input>
  • <menu id="cou4m"><samp id="cou4m"></samp></menu>