关于Oracle WebLogic Server多个高危漏洞的预警

一、概要

近日，Oracle官方近日发布了10月关键补丁更新，其中包含了Oracle WebLogic Server的5个高危的远程代码执行漏洞（CVE-2018-3191、CVE-2018-3197、CVE-2018-3201、CVE-2018-3245、CVE-2018-3252）。该5个漏洞均针对WebLogic Server的WSL核心组件，攻击者可以在未授权的情况下将payload封装在T3协议中，通过对T3协议中的payload进行反序列化，从而实现对存在漏洞的WebLogic组件进行远程攻击，执行任意代码，并获取目标系统的所有权限。

利用漏洞： CVE-2018-3191、CVE-2018-3197、CVE-2018-3201、CVE-2018-3245、CVE-2018-3252

参考链接：

https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html

二、漏洞级别

漏洞级别：【严重】

（说明：漏洞级别共四级：一般、重要、严重、紧急。）

三、影响范围

经确认该5个高危漏洞暂不影响华为云平台侧相关版本；

漏洞影响Oracle WebLogic Server版本如下：

CVE-2018-3191 影响 WebLogic 10.3.6.0、12.1.3.0、12.2.1.3 版本。

CVE-2018-3197 影响 WebLogic 12.1.3.0 版本。

CVE-2018-3201 影响 WebLogic 12.2.1.3 版本。

CVE-2018-3245 影响 WebLogic 10.3.6.0、12.1.3.0、12.2.1.3 版本。

CVE-2018-3252 影响 WebLogic 10.3.6.0、12.1.3.0、12.2.1.3 版本。

四、安全建议

Oracle官方已经在10月关键补丁更新中修复这些漏洞，请对受影响的WebLogic Server进行更新。

1、 使用正版软件的许可账号登陆 https://support.oracle.com 后，可以下载最新补丁。

2、 临时解决方案

通过设置weblogic.security.net.ConnectionFilterImpl默认连接筛选器，对T3/T3s协议的访问权限进行配置，阻断漏洞利用途径。具体如下：

a)    进入WebLogic控制台，在base_domain的配置页面中，进入“安全”选项卡页面，点击“筛选器”，进入连接筛选器配置。

b)    在连接筛选器中输入：WebLogic.security.net.ConnectionFilterImpl，在连接筛选器规则中输入：* * 7001 deny t3 t3s

c)    保存后重新启动即可生效。

注意：修复漏洞前请将资料备份，并进行充分测试。