WebLogic Server遠端高危漏洞預警
前言
近期,360企業安全集團程式碼衛士團隊安全研究人員發現Oracle公司旗下產品Oracle WebLogic Server的多個高危安全漏洞(CVE-2018-3245、CVE-2018-3248、CVE-2018-3249、CVE-2018-3252),並第一時間向Oracle公司報告,協助其修復漏洞。
Oracle WebLogic Server 是目前全球 J2EE 使用最廣泛的商業應用中介軟體之一。北京時間2018年10月17日,Oracle公司釋出了關鍵補丁更新公告(Oracle Critical Patch Update Advisory – October 2018),公開致謝360企業安全集團程式碼衛士團隊,並且釋出相應的補丁修復漏洞。
Oracle公司官方公告
致謝360程式碼衛士
在Oracle公司本次修復的漏洞中,CVE-2018-3245 和 CVE-2018-3252均為高危反序列化漏洞,影響多個 WebLogic 大版本,CVSS評分為9.8分,一定條件下,可以造成遠端程式碼執行。本文將對這兩個漏洞進行簡單描述。
漏洞概述
CVE-2018-3245 (JRMP Deserialization via T3)
該漏洞是一個繞過補丁的漏洞,在Oracle 7月份修復JRMP反序列化漏洞的補丁功能中可以被繞過,導致補丁無效。該漏洞高危,可遠端執行任意程式碼。
CVE-2018-3252 (Deserialization via HTTP)
這個漏洞的觸發並不是官方描述的T3協議,而是通過HTTP的方式即可觸發(危害更大,HTTP一般防火牆均可通過)。由於補丁釋出時間不久,網際網路上還有大量未及時打補丁的 WebLogic Server。該漏洞的細節暫時不公開。
參考連結
Oracle Critical Patch Update Advisory – October 2018: ofollow" rel="nofollow,noindex" target="_blank">https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html 。
*本文作者:360程式碼衛士,轉載請註明來自FreeBuf.COM