关于我们

尊敬的用户，您好！

近日，互联网安全运营中心监测到，Oracle WebLogic远程命令执行漏洞被爆出现新利用方式，攻击者可通过发送精心构造的恶意请求，在未授权的情况下执行远程命令，最终获取服务器的权限。 

为避免您的业务受影响，棉花云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

由于 WebLogic 应用在处理反序列化输入信息时存在缺陷，导致攻击者可以通过发送精心构造的恶意请求，获得目标服务器的权限，截止目前，官方暂时未发布补丁。

风险等级

高危

漏洞风险

漏洞被利用可导致远程代码执行

影响版本

Oracle WebLogic Server 10.3.6.0.0

Oracle WebLogic Server 12.1.3.0.0

修复补丁

当前 Oracle 官方暂未发布受影响版本的对应补丁，建议受影响用户及时关注官方安全补丁。链接如下：

https://www.oracle.com/java/weblogic/ 

修复建议

1 补丁升级方案（截止目前，官方暂未发布）

   在官方发布补丁后，用户可使用 Oracle 官方提供的 Opatch 工具进行补丁安装，具体安装步骤如下：

    （1）进入Oracle\Middleware\Oracle_Home\OPatch路径下，运行opatch.bat脚本；

    （2）运行opatch apply {weblogic补丁文件夹}命令进行补丁安装；

    （3）再运行opatch lspatches命令，查看补丁号，确认是否成功安装最新补丁。

2 临时缓解方案（临时缓解方案存在一定风险，建议用户评估后采用）

    （1）如果不依赖T3协议进行JVM通信，建议禁用T3协议。操作如下：

          1）进入WebLogic控制台，在 base_domain 配置页面中，进入安全选项卡页面，点击筛选器，配置筛选器；

          2）在连接筛选器中输入： weblogic.security.net.ConnectionFilterImpl，在连接筛选器规则框中输入： 

               127.0.0.1 * * allow t3 t3s，0.0.0.0/0 * * deny t3 t3s（T3 和 T3S 协议的所有端口只允许本地访问）

    （2）如业务未使用到，可关闭IIOP协议。操作如下：

         1）在 Weblogic 控制台中，选择 “服务”->”AdminServer”->”协议”，取消“启用IIOP”的勾选。

    （3）保存生效（需重启）

【备注】：建议您在安装补丁前做好数据备份工作，避免出现意外

漏洞参考

官方公告：https://www.oracle.com/java/weblogic/ 

棉花云运营部