【高危预警】WebLogic又该打补丁了

一、补丁概况

2018年4月18日凌晨，Oracle官方发布了 4 月份的关键补丁更新（CPU），其中包含2个Weblogic Server相关的高危补丁（影响评分为9.8）：

CVE-2017-5645：

这个漏洞实际发生在WebLogic所使用的Apache Log4j （日志记录组件）。主要是由于在处理ObjectInputStream时，接收器对于不可靠来源的input没有过滤，攻击者可以通过发送一个特别制作的二进制payload，在组件将字节反序列化为对象时，触发并执行构造的payload代码。

漏洞影响范围包括除Apache Log4j 2.8.2外的所有Apache Log4j 2.*系列版本：Apache Log4j 2.0-alpha1 – Apache Log4j 2.8.1。

CVE-2018-2628：

该漏洞发生在Weblogic T3 服务的基础上，攻击者可以通过发送精心构造的T3协议数据获取目标服务器权限，执行有危害性的操作。由于开放Weblogic 控制台端口时T3 服务会默认开启，因此影响面较大。与之前的weblogic 反序列化漏洞类似，恶意攻击者只需向存在漏洞的weblogic 发送特定的payload 就可以完成webshell 上传、挖矿脚本部署等操作，影响服务端性能，或者造成数据泄露。

二、处理建议

1、对于官方支持版本：

跟往常一样，Oracle给出的受影响版本都是指的目前能够提供修复的受支持版本，包括10.3.6、12.1.3、12.2.1.2、12.2.1.3：

以上版本的对应补丁中包含了对这两个高危漏洞的修复，建议用户尽快部署。

2、对于其它版本：

关于CVE-2018-2628，可以与处理CVE-2017-10271一样，通过控制 T3 协议访问来阻断针对该漏洞的攻击。

WebLogic Server提供了名为weblogic.security.net.ConnectionFilterImpl 的默认连接筛选器，通过配置筛选规则，对 t3 及 t3s 协议进行访问控制。

1）进入 Weblogic 控制台，在 base_domain的配置页面中，进入“安全”选项卡页面，点击“筛选器”，进入连接筛选器配置。

2）在连接筛选器中输入：weblogic.security.net.ConnectionFilterImpl，在连接筛选器规则中输入：* *7001 deny t3 t3s

3）保存后规则尚未生效，需要重新启动。

关于CVE-2017-5645，目前Log4j官方已经发布新版本修复了该漏洞，补丁下载地址为： http://download.nextag.com/apache/logging/log4j/