Weblogic反序列化漏洞CVE-2018-2628

Oracle官方发布了4月份的关键补丁更新CPU（Critical Patch Update）,其中包含一个远程代码执行漏洞，漏洞威胁等级为高危，漏洞对应的CVE编号为CVE-2018-2628。
漏洞描述
WebLogic是美国Oracle公司出品的一个应用服务器软件（application server），是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。目前Weblogic是商业市场上主要的Java（J2EE）应用服务器软件之一，也是世界上第一个成功商业化的J2EE应用服务器。
漏洞说明
在 WebLogic 里，InboundMsgAbbrev中的resolveProxyClass是可以对rmi的类型进行处理的，但是只简单判断了java.rmi.registry.Registry，为攻击者提供了绕过黑名单的机会，攻击者可以通过使用其他的rmi来绕过Weblogic的黑名单限制。除此之外，java远程方法协议会序列化一个RemoteObjectInvocationHandler，它会利用UnicastRef和远端建立tcp连接，并获取RMI registry，再将加载的内容利用readObject解析，从而造成反序列化远程代码执行。
影响版本
Oracle WebLogic Server10.3.6.0
Oracle WebLogic Server12.2.1.2
Oracle WebLogic Server12.2.1.3
Oracle WebLogic Server12.1.3.0
威胁等级
本次漏洞利用简单，为高危漏洞。
漏洞复现
触发此漏洞的前提是：
1、使用了Oracle WebLogic Server10.3.6.0,
Oracle WebLogic Server12.2.1.2,
Oracle WebLogic Server12.2.1.3,
Oracle WebLogic Server12.1.3.0中的任何一个版本的weblogic
2、对外开放了weblogic端口

本文标签：

转载请注明出处： http://www.itsec365.cn/?id=49