安全漏洞通告

类型

远程代码执行

影响范围

Weblogic

危害级别

高危

内容概述

Weblogic反序列化远程代码执行漏洞CVE-2018-2628

受影响版本：

Weblogic 10.3.6.0

Weblogic 12.1.3.0

Weblogic 12.2.1.2

Weblogic 12.2.1.3

详细说明

北京时间4月18日凌晨，Oracle官方发布了4月份的关键补丁更新CPU（Critical Patch Update）,其中包含一个高危的远程代码执行漏洞(CVE-2018-2628)，通过该漏洞，攻击者可以在未授权的情况下远程执行任意代码。

此漏洞产生于Weblogic T3服务，所有开放Weblogic控制台端口（默认为7001端口）的应用，均会默认开启T3服务，因此会造成较大范围的影响。在全球范围内对互联网开放Weblogic服务的资产数量多达19,229，其中归属中国地区的受影响资产数量为1,787。

处理方法和建议

1、漏洞检测:

企业用户可通过在NTI上检索自有资产信息端口开放情况，查看企业资产是否受此漏洞影响。

2、漏洞修复建议：

1）Oracle官方已经在今天的关键补丁更新（CPU）中修复了该漏洞，强烈建议受影响的用户尽快升级更新进行防护。

2）可通过控制T3协议的访问来临时阻断针对该漏洞的攻击。WebLogic Server 提供了名为 weblogic.security.net.ConnectionFilterImpl 的默认连接筛选器，此连接筛选器接受所有传入连接，可通过此连接筛选器配置规则，对t3及t3s协议进行访问控制。

3、参考链接：

1）https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2628

2）http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html