运维遇到这漏洞，直接盘它!

Oracle WebLogic Server反序列化远程代码执行漏洞修复方案

前言

国家信息安全漏洞库（CNNVD）公布了Oracle WebLogic Server 存在远程代码执行漏洞（CNNVD-201810-781、CVE-2018-3245）。攻击者可利用该漏洞在未授权的情况下发送攻击数据，通过T3协议在WebLogic Server中执行反序列化操作,最终实现远程代码执行。WebLogic Server 10.3.6.0、12.1.3.0、12.2.1.2、12.2.1.3等版本均受漏洞影响。目前， Oracle官方已经发布补丁修复了漏洞，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

一、漏洞简介

WebLogic是美国Oracle公司一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。WebLogic Server的RMI（远程方法调用）目前使用Java远程消息交换协议JRMP（Java Remote Messaging Protocol）进行通信，在RMI通信中，T3协议（丰富套接字）用来在 WebLogic Server 和其他 Java 程序（包括客户端及其他 WebLogic Server 实例）间传输数据，该协议在开放WebLogic控制台端口的应用上默认开启。

国家信息安全漏洞库（CNNVD）公布了Oracle WebLogic Server 存在远程代码执行漏洞（CNNVD-201810-781、CVE-2018-3245）。该漏洞通过JRMP 协议利用RMI 机制的缺陷达到远程代码执行的目的。攻击者可以在未授权的情况下将payload 封装在T3 协议中，通过对T3 协议中的payload 进行反序列化，从而实现对存在漏洞的WebLogic 组件进行远程攻击，执行任意代码。

经研判分析，通过利用CVE-2018-3245，攻击者可在未授权的情况下发送攻击数据，通过T3 协议在WebLogic Server 中执行反序列化操作,最终实现远程执行任意代码并可获取目标系统的所有权限。

通报中心对上述漏洞的综合评级为“高危”。

二、漏洞影响范围

根据官方公告情况，该漏洞影响包括WebLogic 10.3.6.0、WebLogic 12.1.3.0、WebLogic 12.2.1.2 和WebLogic 12.2.1.3 等版本。

三、应对措施

（一）紧急措施

通过设置weblogic.security.net.ConnectionFilterImpl 默认连接筛选器，对T3/T3s 协议的访问权限进行配置，阻断漏洞利用途径。具体如下：

（1）进入WebLogic 控制台，在base_domain 的配置页面中，进入“安全”选项卡页面，点击“筛选器”，进入连接筛选器配置。

（2）在连接筛选器中输入： WebLogic.security.net.ConnectionFilterImpl，在连接筛选器规则中输入：

a）127.0.0.1 * * allow t3 t3s，0.0.0.0/0 * * deny t3 t3s（t3和t3s协议的所有端口只允许本地访问）。

b）* * 7001 deny t3 t3s。

（3）保存后需重新启动，规则方可生效。

（二）漏洞修复

及时更新至最新版本，参考链接如下：

https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html

四、漏洞修复

注：针对漏洞影响版本 Weblogic 10.3.6.0

（一）中间件补丁包信息

Weblogic官网10.3.6版本最新的补丁包为p28483404_1036.zip，补丁包更新步骤见README.txt

升级成功后中间件版本信息：

（二）升级

? 解压补丁包

Oracle官方10月16日发布的最新补丁包p28483404_1036_Generic.zip，到D:\be\utils\bsu\cache_dir；

? 查看升级前weblogic版本

切换到D:\be\utils\bsu目录，运行bsu.cmd -view -status=applied -prod_dir=E:/beanew/wlserver_10.3/ -verbose

? 停止weblogic服务

? 安装补丁

运行命令：bsu.cmd -install -patch_download_dir=D:\be\utils\bsu\cache_dir -patchlist=BHT3 -prod_dir=D:\be\wlserver_10.3

? 查看weblogic升级后版本信息

运行命令：bsu.cmd -view -status=applied -prod_dir=E:/beanew/wlserver_10.3/ -verbose

到此，Weblogic 10.3.6已升级完最新补丁，反序列化远程代码执行漏洞修复完成，可以启动应用提供服务了！

END