当前位置: 首页 > 通知公告 > 正文

通知公告

Oracle WebLogic Server反序列化漏洞预警

信息来源: 发布日期: 2019-10-23 浏览次数:

Oracle WebLogic Server是美国甲骨文(Oracle)公司开发的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。

Weblogic中的序列化是指把 Java 对象转换为字节序列的过程便于保存在内存、文件、数据库中,反序列化是指把字节序列恢复为 Java 对象的过程。

Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证反序列化安全。攻击者可利用漏洞绕过Weblogic反序列化黑名单,在未授权的情况下发送攻击数据,通过T3协议在WebLogic Server中执行反序列化操作,最终实现远程代码执行,进而控制WebLogic服务器。

具体受影响版本如下:

Oracle WebLogic Server 10.3.6.0/12.1.3.0.0/12.2.1.3.0

修复建议

一、禁用T3 协议

如果您不依赖 T3 协议进行JVM通信,可通过暂时阻断 T3 协议缓解此漏洞带来的影响。

1. 进入 Weblogic 控制台,在 base_domain 配置页面中,进入“安全”选项卡页面,点击“筛选器”,配置筛选器。

2. 在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入:* * 7001 deny t3 t3s。

3. 保存生效(无需重启)。

二、排查弱口令

排查 Weblogic 管理后台是否存在弱口令,增强密码强度。

三、升级补丁

相关链接

https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html