中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Oracle Weblogic Server Java反序列化漏洞(CVE-2018-2628)修復指南

發布時間:2020-08-09 22:36:52 來源:ITPUB博客 閱讀:430 作者:edge_dba 欄目:關系型數據庫

WebLogic序列化漏洞CVE-2018-2628安全預警

 

TAG

Oracle WebLogicCVE-2018-2628、反序列化

關注級別

紅,此漏洞利用簡單,可直接獲取系統控制權限,存在被攻擊者挖礦利用的可能性

發布日期

2018-4-18

版本

V1.0

 

 一.      漏洞概述

北京時間418日凌晨,Oracle官方發布了4月份的關鍵補丁更新CPUCritical Patch Update,其中包含一個高危的遠程代碼執行漏洞(CVE-2018-2628),通過該漏洞,攻擊者可以在未授權的情況下遠程執行任意代碼。

CVSS 評分:9.8CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

二.      影響范圍

受影響的版本

l  Weblogic 10.3.6.0

l  Weblogic 12.1.3.0

l  Weblogic 12.2.1.2

l  Weblogic 12.2.1.3

以上均為官方支持的版本

 

三.      漏洞防護

若通過Nginx/Apache配置反向代理的方式訪問Weblogic應用,就限制了Weblogic T3的直接訪問,此漏洞也將不能直接被利用。

3.1         補丁修復

官方在4月份發布的關鍵補丁更新中已對此漏洞進行了修復。可參考鏈接:

http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html

補丁更新操作可參考鏈接:

https://docs.oracle.com/middleware/12213/lcm/OPATC/GUID-56D6728D-5EDC-482B-B2E4-DDB20A64FA32.htm#OPATC143

 

可以通過升級weblogic對應補丁的方法進行漏洞修復。

3.2         推薦配置黑名單解決方案

可通過控制T3協議的訪問來臨時阻斷針對該漏洞的攻擊。WebLogic Server 提供了名為 weblogic.security.net.ConnectionFilterImpl 的默認連接篩選器,此連接篩選器接受所有傳入連接,可通過此連接篩選器配置規則,對t3t3s協議進行訪問控制,詳細操作步驟如下:

1.      進入Weblogic控制臺,在base_domain的配置頁面中,進入安全選項卡頁面,點擊篩選器,進入連接篩選器配置。

2.      在連接篩選器中輸入:weblogic.security.net.ConnectionFilterImpl,在連接篩選器規則中輸入:* * 7001 deny t3 t3s

Oracle Weblogic Server Java反序列化漏洞(CVE-2018-2628)修復指南

連接篩選器內容輸入:

127.0.0.1 * 7001 allow

192.168.1.100 * 7001 allow

* * 7001 deny t3 t3s

* * 8080 deny t3 t3s

說明:

配置的目的是,僅允許服務器自己及集群內的服務器通過t3協議連接此服務器。禁止來自于其他IP地址的通過t3t3s協議連接相應的端口。

假定:控制臺端口為7001192.168.1.100 為服務器的真實IP地址,如有集群內的服務器通過控制臺端口互訪,也需要增加上相應的IP地址,8080為應用服務端口。

如果配置錯誤,可能導致服務啟動失敗。如果服務啟動失敗,可以修改config/config.xml文件內容,恢復或修正配置。

 

3.      保存規則之后激活更改。

Oracle Weblogic Server Java反序列化漏洞(CVE-2018-2628)修復指南

 

Oracle Weblogic Server Java反序列化漏洞(CVE-2018-2628)修復指南

 

連接篩選器規則格式如:target localAddress localPort action protocols,其中:

l   target 指定一個或多個要篩選的服務器。

l   localAddress 可定義服務器的主機地址。(如果指定為一個星號 (*),則返回的匹配結果將是所有本地 IP 地址。)

l   localPort 定義服務器正在監聽的端口。(如果指定了星號,則匹配返回的結果將是服務器上所有可用的端口)

l   action 指定要執行的操作。(值必須為“allow”“deny”)

l  protocols 是要進行匹配的協議名列表。(必須指定下列其中一個協議:httphttpst3t3sgiopgiopsdcom ftp) 如果未定義協議,則所有協議都將與一個規則匹配。

 

4.      重啟服務。

 

single:/home/oracle@db> ps -ef | grep weblogic

root      5038  5012  0 10:00 pts/2    00:00:00 su - weblogic

weblogic  5039  5038  0 10:00 pts/2    00:00:00 -bash

weblogic  5623  5039  0 10:41 pts/2    00:00:00 /bin/sh ./startWebLogic.sh

weblogic  5624  5623  0 10:41 pts/2    00:00:00 /bin/sh /weblogic/Oracle/Middleware/user_projects/domains/weblogic/bin/startWebLogic.sh

weblogic  5674  5624 99 10:42 pts/2    00:00:31 /usr/java/jdk1.8.0_20/bin/java -server -Xms256m -Xmx512m -XX:MaxPermSize=256m -Dweblogic.Name=AdminServer -Djava.security.policy=/weblogic/Oracle/Middleware/wlserver_10.3/server/lib/weblogic.policy -Dweblogic.ProductionModeEnabled=true -da -Dplatform.home=/weblogic/Oracle/Middleware/wlserver_10.3 -Dwls.home=/weblogic/Oracle/Middleware/wlserver_10.3/server -Dweblogic.home=/weblogic/Oracle/Middleware/wlserver_10.3/server -Dweblogic.management.discover=true -Dwlw.iterativeDev=false -Dwlw.testConsole=false -Dwlw.logErrorsToConsole=false -Dweblogic.ext.dirs=/weblogic/Oracle/Middleware/patch_wls1036/profiles/default/sysext_manifest_classpath:/weblogic/Oracle/Middleware/patch_ocp371/profiles/default/sysext_manifest_classpath -Dweblogic.management.username=weblogic -Dweblogic.management.password=weblogic_123 weblogic.Server

root      5716  4743  0 10:42 pts/1    00:00:00 grep weblogic

single:/home/oracle@db> kill -9 5674

single:/home/oracle@db> su - weblogic

single:/weblogic/Oracle/Middleware/user_projects/domains/weblogic@weblogic> nohup ./startWebLogic.sh &

[1] 5835

single:/weblogic/Oracle/Middleware/user_projects/domains/weblogic@weblogic> nohup: ignoring input and appending output to `nohup.out'

single:/weblogic/Oracle/Middleware/user_projects/domains/weblogic@weblogic>

 

通過配置黑名單的方式也可以解決這個問題。

四.      漏洞影響排查

4.1         版本檢查

使用如下命令對WebLogic版本進行排查

$ cd /lopt/bea92sp2/weblogic92/server/lib

$ java -cp weblogic.jar weblogic.version

此漏洞影響到Oracle官方現支持的所有版本,使用Weblogic中間件的企業還需檢測是否對互聯網開放了Weblogic端口(默認為7001端口和7002端口),如果Weblogic T3服務可被遠程訪問。則存在漏洞風險,請受影響的用戶及時進行加固。漏洞利用排查

Weblogic中間件受到攻擊時,會報出類轉換異常,并在AdminServer.log日志中輸出異常信息。因此,通過查看AdminServer.log文件,可以判斷Weblogic服務器是否有被此漏洞利用的情況。

AdminServer.log存放的位置為:

\Oracle\Middleware\Oracle_Home\user_projects\domains\base_domain\servers\AdminServer\logs\AdminServer.log


向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

滨州市| 孝感市| 伊通| 陆丰市| 芜湖市| 江源县| 固安县| 长顺县| 五大连池市| 木兰县| 冕宁县| 丰县| 平果县| 彰化县| 葫芦岛市| 永兴县| 昭平县| 永德县| 军事| 搜索| 五台县| 大名县| 台东县| 杂多县| 深圳市| 平阴县| 固安县| 仲巴县| 高青县| 桓仁| 高安市| 裕民县| 利川市| 秀山| 松潘县| 集安市| 阳朔县| 正定县| 大田县| 合川市| 布拖县|