WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
一、漏洞详情
由于此漏洞产生于Weblogic T3服务,当开放Weblogic控制台端口(默认为7001端口)时,T3服务会默认开启,因此会造成较大影响,结合曾经爆出的WeblogicWLS 组件漏洞(CVE-2017-10271),不排除会有攻击者利用挖矿的可能,因此,建议受影响企业用户尽快部署防护措施。
二、影响范围
Weblogic 10.3.6.0
Weblogic 12.1.3.0
Weblogic 12.2.1.2
Weblogic 12.2.1.3
三、修复方案
Oracle官方已发布针对该漏洞的补丁,可更新官方最新的补丁。Oracle官方补丁需要用户持有正版软件的许可帐号,使用许可帐号登陆 https://support.oracle.com 后,可以下载最新补丁。
临时修复建议:
1、升级JDK版本。由于Java在今年一月份以后更新了反序列化防御接口,可以缓解反序列化漏洞的影响。
2、升级WebLogic、删除不需要的页面,清理不安全的第三方库。
3、禁用T3协议。