如何實(shí)現(xiàn)WebLogicWLS核心組件反序列化漏洞

這篇文章將為大家詳細(xì)講解有關(guān)如何實(shí)現(xiàn)WebLogic WLS核心組件反序列化漏洞,文章內(nèi)容質(zhì)量較高,因此小編分享給大家做個(gè)參考,希望大家閱讀完這篇文章后對(duì)相關(guān)知識(shí)有一定的了解。

網(wǎng)站建設(shè)哪家好,找創(chuàng)新互聯(lián)公司!專(zhuān)注于網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開(kāi)發(fā)、小程序制作、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶(hù)創(chuàng)新互聯(lián)還提供了古田免費(fèi)建站歡迎大家使用!

Oracle FusionMiddleware(Oracle融合中間件)是美國(guó)甲骨文(Oracle)公司的一套面向企業(yè)和云環(huán)境的業(yè)務(wù)創(chuàng)新平臺(tái)。該平臺(tái)提供了中間件、軟件集合等功能。Oracle WebLogic Server是其中的一個(gè)適用于云環(huán)境和傳統(tǒng)環(huán)境的應(yīng)用服務(wù)器組件。

Oracle官方發(fā)布了4月份的關(guān)鍵補(bǔ)丁更新CPU(Critical PatchUpdate),其中包含一個(gè)高危的Weblogic反序列化漏洞(CVE-2018-2628),該漏洞修補(bǔ)不善導(dǎo)致被繞過(guò)。Oracle 官方發(fā)布的7月份補(bǔ)丁中修復(fù)了該漏洞,分配了漏洞編號(hào)CVE-2018-2893。

通過(guò)該漏洞,攻擊者可以在未授權(quán)的情況下遠(yuǎn)程執(zhí)行代碼。攻擊者只需要發(fā)送精心構(gòu)造的T3協(xié)議數(shù)據(jù),就可以獲取目標(biāo)服務(wù)器的權(quán)限。攻擊者可利用該漏洞控制組件,影響數(shù)據(jù)的可用性、保密性和完整性。

影響范圍

Oracle WebLogic Server 10.3.6.0

Oracle WebLogic Server 12.1.3.0

Oracle WebLogic Server 12.2.1.2

Oracle WebLogic Server 12.2.1.3

以上均為官方支持的版本。

修復(fù)方案

1.Oracle 官方已經(jīng)在 7 月份中的補(bǔ)丁中修復(fù)了該漏洞,建議受影響的用戶(hù)盡快升級(jí)更新。

下載地址:http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

2.根據(jù)業(yè)務(wù)需求選擇禁用T3協(xié)議。

此漏洞產(chǎn)生于WebLogic的T3服務(wù),因此可通過(guò)控制T3協(xié)議的訪問(wèn)來(lái)臨時(shí)阻斷針對(duì)該漏洞的攻擊。當(dāng)開(kāi)放WebLogic控制臺(tái)端口(默認(rèn)為7001端口)時(shí),T3服務(wù)會(huì)默認(rèn)開(kāi)啟。

具體操作:

(1)進(jìn)入WebLogic控制臺(tái),在base_domain的配置頁(yè)面中,進(jìn)入“安全”選項(xiàng)卡頁(yè)面,點(diǎn)擊“篩選器”,進(jìn)入連接篩選器配置。

(2)在連接篩選器中輸入:weblogic.security.net.ConnectionFilterImpl,在連接篩選器規(guī)則中輸入:127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * *deny t3 t3s(t3和t3s協(xié)議的所有端口只允許本地訪問(wèn))。

(3)保存后需重新啟動(dòng)。

關(guān)于如何實(shí)現(xiàn)WebLogic WLS核心組件反序列化漏洞就分享到這里了,希望以上內(nèi)容可以對(duì)大家有一定的幫助,可以學(xué)到更多知識(shí)。如果覺(jué)得文章不錯(cuò),可以把它分享出去讓更多的人看到。

新聞標(biāo)題:如何實(shí)現(xiàn)WebLogicWLS核心組件反序列化漏洞
網(wǎng)址分享:http://muchs.cn/article24/jopsje.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供小程序開(kāi)發(fā)、外貿(mào)建站搜索引擎優(yōu)化、GoogleApp開(kāi)發(fā)、動(dòng)態(tài)網(wǎng)站

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

h5響應(yīng)式網(wǎng)站建設(shè)