信息安全

信息安全 首页 > 信息安全 > 信息安全 > 正文

【华中科技大学 - 漏洞预警】 WebLogic 任意文件上传远程代码执行漏洞(CVE-2018-2894)

发布时间:2018-07-19 浏览次数:

近日,Oracle官方发布了7月份的关键补丁更新CPU(Critical Patch Update),其中包含安全研究人员发现的WebLogic任意文件上传远程代码执行漏洞(CVE-2018-2894)。攻击者通过利用此漏洞,即可在远程且未经授权的情况下在WebLogic服务器上执行任意代码。

漏洞概述

WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。

该漏洞存在于Web服务组件Oracle WebLogic Server WLS中,攻击者可以通过构造恶意的HTTP请求来利用该漏洞,获取服务器权限,执行系统命令。WebLogic管理端未授权的两个页面存在任意上传getshell漏洞,可直接获取权限。两个页面分别为/ws_utc/begin.do,/ws_utc/config.do。

漏洞危害

攻击者可以通过构造恶意的HTTP请求来利用该漏洞,获取服务器权限,执行系统命令。

受影响范围

WebLogic 10.3.6.0

WebLogic 12.1.3.0

WebLogic 12.2.1.2

WebLogic 12.2.1.3

修复建议

1、Oracle官方已发布了修复补丁,建议及时更新至最新版本。

Oracle补丁链接:http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

2、通过设置weblogic.security.net.ConnectionFilterImpl默认连接筛选器,对T3/T3s协议的访问权限进行配置,阻断漏洞利用途径。具体如下:

第一步:进入 WebLogic控制台,在 base_domain的配置页面中,进入“安全”选项卡页面,点击“筛选器”,进入连接筛选器配置。

第二步:在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则中输入:127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s(t3和 t3s协议的所有端口只允许本地访问)。

第三步:保存后需重新启动,规则方可生效。

版权所有:华中科技大学网络与计算中心

地址:湖北省武汉市洪山区珞喻路1037号 邮编:430074 电话:027-87543141 传真:027-87543741