一、补丁概况
2018年4月18日凌晨,Oracle官方发布了 4 月份的关键补丁更新(CPU),其中包含2个Weblogic Server相关的高危补丁(影响评分为9.8):
CVE-2017-5645:
这个漏洞实际发生在WebLogic所使用的Apache Log4j (日志记录组件)。主要是由于在处理ObjectInputStream时,接收器对于不可靠来源的input没有过滤,攻击者可以通过发送一个特别制作的二进制payload,在组件将字节反序列化为对象时,触发并执行构造的payload代码。
漏洞影响范围包括除Apache Log4j 2.8.2外的所有Apache Log4j 2.*系列版本:Apache Log4j 2.0-alpha1 – Apache Log4j 2.8.1。
CVE-2018-2628:
该漏洞发生在Weblogic T3 服务的基础上,攻击者可以通过发送精心构造的T3协议数据获取目标服务器权限,执行有危害性的操作。由于开放Weblogic 控制台端口时T3 服务会默认开启,因此影响面较大。与之前的weblogic 反序列化漏洞类似,恶意攻击者只需向存在漏洞的weblogic 发送特定的payload 就可以完成webshell 上传、挖矿脚本部署等操作,影响服务端性能,或者造成数据泄露。
二、处理建议
1、对于官方支持版本:
跟往常一样,Oracle给出的受影响版本都是指的目前能够提供修复的受支持版本,包括10.3.6、12.1.3、12.2.1.2、12.2.1.3:
以上版本的对应补丁中包含了对这两个高危漏洞的修复,建议用户尽快部署。
2、对于其它版本:
关于CVE-2018-2628,可以与处理CVE-2017-10271一样,通过控制 T3 协议访问来阻断针对该漏洞的攻击。
WebLogic Server提供了名为weblogic.security.net.ConnectionFilterImpl 的默认连接筛选器,通过配置筛选规则,对 t3 及 t3s 协议进行访问控制。
1)进入 Weblogic 控制台,在 base_domain的配置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。
2)在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则中输入:* *7001 deny t3 t3s
3)保存后规则尚未生效,需要重新启动。
关于CVE-2017-5645,目前Log4j官方已经发布新版本修复了该漏洞,补丁下载地址为: http://download.nextag.com/apache/logging/log4j/