高危安全预警50期：Weblogic反序列化远程代码执行漏洞

北京时间2018年7月18日凌晨，Oracle官方发布了7月份的关键补丁更新,其中包含一个其他安全研究团队发现的高危Weblogic反序列化漏洞(CVE-2018-2893)。

该漏洞通过JRMP 协议利用RMI机制的缺陷达到执行任意反序列化代码的目的。攻击者可以在未经授权的情况下利用该漏洞，远程发送攻击数据，通过T3协议在WebLogic Server中执行反序列化操作，从而达到任意代码执行的目的。

安全狗第一时间关注了事件进展，根据最新的研究分析，我们总结出了一些防护建议，敬请用户知晓。

漏洞相关信息

处置建议

1、官方升级

Oracle官方已经在今天的关键补丁更新（CPU）中修复了该漏洞，强烈建议受影响的用户尽快升级更新进行防护。

链接：

http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

2、控制T3协议的访问

此漏洞产生于WebLogic的T3服务，因此可通过控制T3协议的访问来临时阻断针对该漏洞的攻击。当开放WebLogic控制台端口（默认为7001端口）时，T3服务会默认开启。

具体操作如下：

（1）进入WebLogic控制台，在base_domain的配置页面中，进入“安全”选项卡页面，点击“筛选器”，进入连接筛选器配置。

（2）在连接筛选器中输入：weblogic.security.net.ConnectionFilterImpl，在连接筛选器规则中输入：127.0.0.1 * * allow t3 t3s，0.0.0.0/0 * * deny t3 t3s（t3和t3s协议的所有端口只允许本地访问）。

（3）保存后需重新启动，规则方可生效。

3、升级JDK版本

建议用户将JDK升级到 jdk-8u20以上的版本。

我们将持续关注漏洞相关的信息，如果发现新的信息，我们将及时通告用户。