Weblogic反序列化漏洞(CVE-2018-2628),T3协议⽩名单 2018年4⽉18⽇凌晨,Oracle官⽅发布了4⽉份的关键补丁更新,其中包含⼀个⾼危的Weblogic反序列化漏洞(CVE-2018-2628),通过该漏洞,攻击者可以在未授权的情况下远程执⾏代码。攻击者只需要发送精⼼构造的T3协议数据,就可以获取⽬标服务器的权限。
受影响版本范围:
Oracle WebLogic Server 10.3.6.0
Oracle WebLogic Server 12.1.3.0
Oracle WebLogic Server 12.2.1.2
Oracle WebLogic Server 12.2.1.3
针对此问题,去⽹上查了⼀些资料。做了⼀些总结和测试,⼀共有四种解决此漏洞的⽅法:
1、禁⽌使⽤Weblogic的T3协议。(客户需要使⽤此协议,不可取);
2、升级Oracle官⽅4⽉份补丁。(经过测试,打过补丁后,此漏洞依然存在);
3、使⽤绿盟NIPS,规则库能够阻挡外部攻击。
4、设置T3协议⽩名单。(对需要使⽤T3协议的情况下很好使,下⾯会给出步骤)
测试环境:weblogic10.3.6服务器(windows 2008R2)192.168.125.118
攻击机win10    192.168.125.117
同⼀内⽹下的win10 检测,同样存在此漏洞
设置T3协议⽩名单
(1)进⼊Weblogic控制台,在base_domain的配置页⾯中,进⼊“安全”选项卡页⾯,点击“筛选器”,进⼊连接筛选器配置。
在连接筛选器中输⼊:weblogic.security.ConnectionFilterImpl,在连接筛选器规则中
输⼊:ip * * allow t3 (ip为允许的ip)
0.0.0.0/0 * *deny t3 t3s
测试时⽩名单IP设置的是本地IP
设置完成后,激活更改并重启服务。
此时IP⽩名单外的机器已经⽆法检测到此漏洞。weblogic管理页面
总结:weblogic2628漏洞源于T3协议,如果服务不需要使⽤T3协议,尽量通过禁⽤此协议来防⽌此漏洞。如果需要使⽤T3协议,⽬前的解决⽅法是设置T3协议⽩名单。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。