WebLogic反序列化漏洞（CVE-2018-2893）处置建议

预警编号:NS-2018-0020

2018-07-18

1

漏洞概述

北京时间7月18日，Oracle官方发布了7月份（第二季度）的关键补丁更新CPU（Critical Patch Update），其中修复了一个4月份（第一季度）CPU补丁中未能完全修复的Weblogic反序列化漏洞（CVE-2018-2628），但由于Weblogic采用黑名单的方式阻止恶意反序列化，仍存在被绕过的可能。请相关用户关注绿盟科技安全预警，在漏洞爆出时及时知晓，及时防护，减少因此漏洞造成的损失。

绿盟科技4月份发布的针对Weblogic反序列化漏洞（CVE-2018-2628）漏洞的安全防护方案对此漏洞（CVE-2018-2893）仍有效，前期已经按照绿盟科技安全防护方案部署过防护措施的企业，已具有针对此漏洞的防护能力，可对此漏洞的攻击进行有效防护。

参考链接：http://blog.nsfocus.net/cve-2018-2628-weblogic/

官方链接：http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

SEE MORE →

2影响范围

受影响的版本

• Weblogic 10.3.6.0
• Weblogic 12.1.3.0
• Weblogic 12.2.1.2
• Weblogic 12.2.1.3

3解决方案

3.1

官方升级

官方已在7月份的关键补丁更新中修复了此漏洞，强烈建议用户及时下载更新并安装补丁包，对此漏洞进行有效防护。关于补丁升级步骤请参考补丁升级包中的README.txt文档，或附录A官方补丁升级指导。

注：Oracle官方补丁需要用户持有正版软件的许可账号，使用该账号登陆https://support.oracle.com/rs?type=doc&id=2394520.1后，可以下载最新补丁。

3.2

产品防护

绿盟科技的防护产品已于4月份发布了规则升级包，对此漏洞形成了防护能力。部署有绿盟科技防护类产品IPS/NF对此漏洞进行有效防护。

产品规则升级访问地址：

• 入侵防护系统（IPS）http://update.nsfocus.com/update/listIps
• 下一代防火墙系统（NF）http://update.nsfocus.com/update/listNf

通过上述链接，升级至最新版本即可进行防护。

此漏洞影响到Oracle官方现支持的所有版本，若通过防火墙限定了Weblogic服务端口（默认为7001和7002端口）的开放，或者通过限定Weblogic T3服务远程访问，则可缓解此漏洞攻击影响，降低被攻击的风险，但也建议及时安装补丁，并关注Oracle官方通告和绿盟科技安全预警通告。

附录官方补丁升级指导

Oracle官方建议用户使用补丁进行升级前，及时升级JDK版本，以10.3.6.0.180717版本补丁为例，升级操作步骤如下：

1、 将Weblogic应用服务停止。

2、 移除所有之前的升级包。

3、 解压补丁压缩包至{MW_HOME}/utils/bsu/cache_dir目录，如果cache_dir不存在则手动创建，并保证该目录具有写入和执行权限。其中MW_HOME为Oracle中间件的安装目录。

4、 进入{MW_HOME}/utils/bsu目录执行以下命令进行补丁安装：

其中WL_HOME为Weblogic的Home目录。

5、 执行完上述操作后，重新启动Weblogic服务，执行以下命令来确认补丁是否安装成功：

如出现以下提示，说明补丁安装成功。

BSU命令行接口说明，可参考下面的链接：

http://docs.oracle.com/cd/E14759_01/doc.32/e14143/commands.htm

END

作者：绿盟科技安全服务部

声明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。