WebLogic CVE-2018-2628反序列化缝隙复现

颁布功夫 2018-04-18

一、缝霞述

2018年4月18日凌晨，Oracle官方颁布了4月份的安全补丁更新CPU（Critical Patch Update），更新中建复了一个高危WebLogic反序列化缝隙CVE-2018-2628（CNVD-2018-07811、CNNVD-201804-803）。攻击者能够在未授权的情况下通过T3和谈对存在缝隙的WebLogic组件进行远程攻击，并可获取指标系统所有权限。

Oracle官方颁布的缝隙信息如下图所示：

二、缝隙验证

GA黄金甲ADLab第一功夫对CVE-2018-2628进行了跟踪分析，并成功复现了该缝隙。复现了局如下所示：

三、缝隙影响

该缝隙影响WebLogic 10.3.6.0、WebLogic 12.1.3.0、WebLogic 12.2.1.2、WebLogic 12.2.1.3多个版本。目前已经发现针对该缝隙的利用步骤，利用步骤较为单一，风险较大，有关用户及厂商应引起器沉。

四、缝隙建复

Oracle官方已颁布针对该缝隙的补丁，可更新官方最新的补丁。Oracle官方补丁必要用户持有正版软件的许可帐号，使用许可帐号登陆 https://support.oracle.com 后，能够下载最新补丁。

几点建议：

1、升级JDK版本。由于Java在今年一月份以来更新了反序列化防御接口，能够缓解反序列化缝隙的影响。

2、升级WebLogic、删除不必要的页面，算帐不安全的第三方库。

3、禁用T3和谈。

缝隙链接：

http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

WebLogic CVE-2018-2628反序列化缝隙复现

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线