【高危】- WebLogic 反序列化漏洞预警(CVE-2019-2890)
■ 漏洞描述
WebLogic官方发布了CVE-2019-2890漏洞预警,漏洞等级严重。WebLogic 是 Oracle 公司出品的基于 JavaEE 架构的中间件,用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用。
Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic的反序列化黑名单,使攻击者可以通过T3协议对存在漏洞的Weblogic组件实施远程攻击。
由于T3协议在Weblogic控制台开启的情况下默认开启,而Weblogic默认安装会自动开启控制台,所以攻击者可通过此漏洞造成远程代码执行,以控制Weblogic服务器。
■ 影响范围
WebLogic Server 10.3.6.0
WebLogic Server 12.1.3.0
WebLogic Server 12.2.1.3
■ 漏洞检测
检测方法:查看WebLogic版本号是否在漏洞范围内
■ 漏洞修复
升级补丁:https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html。
■ 临时修复
禁用T3协议:
1、进入WebLogic控制台,在base_domain配置页面中,进入安全选项卡页面,点击筛选器,配置筛选器。
2、在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s
3、保存生效(需重启)
■ 漏洞详情
https://cert.360.cn/warning/detail?id=3a5202c8079525b65e79929582b64c47
WebLogic官方发布了CVE-2019-2890漏洞预警,漏洞等级严重。WebLogic 是 Oracle 公司出品的基于 JavaEE 架构的中间件,用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用。
Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic的反序列化黑名单,使攻击者可以通过T3协议对存在漏洞的Weblogic组件实施远程攻击。
由于T3协议在Weblogic控制台开启的情况下默认开启,而Weblogic默认安装会自动开启控制台,所以攻击者可通过此漏洞造成远程代码执行,以控制Weblogic服务器。
■ 影响范围
WebLogic Server 10.3.6.0
WebLogic Server 12.1.3.0
WebLogic Server 12.2.1.3
■ 漏洞检测
检测方法:查看WebLogic版本号是否在漏洞范围内
■ 漏洞修复
升级补丁:https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html。
■ 临时修复
禁用T3协议:
1、进入WebLogic控制台,在base_domain配置页面中,进入安全选项卡页面,点击筛选器,配置筛选器。
2、在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s
3、保存生效(需重启)
■ 漏洞详情
https://cert.360.cn/warning/detail?id=3a5202c8079525b65e79929582b64c47