阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 8308阅读
  • 1回复

[安全漏洞公告专区]【漏洞公告】针对WebLogic T3协议反序列化漏洞补丁绕过

级别: 论坛版主
发帖
241
云币
478
2018年4月27日,阿里云盾应急响应中心监测到有针对WebLogic T3协议反序列化漏洞补丁绕过,通过此漏洞,攻击者可以在未授权的情况下远程执行代码。该漏洞为之前Oracle官方发布了4月份的关键补丁更新CPU(Critical Patch Update),但并没有起到完全修复效果。 b$kCyOg  

ALqP;/  
漏洞名称:  hfpSxL  
WebLogic T3协议反序列化漏洞补丁绕过 ^PY*INv  
影响软件: tkBp?Wl  
WebLogic服务器核心组件(WLS Core Components) P%hi*0pwZ  
风险评级: ENwDW#U9  
针对"CVE-2018-2628"补丁绕过:高危 a)'^'jm)4  
受影响范围: O mkl|l9  
  • WebLogic 10.3.6.0
  • WebLogic 12.1.3.0
  • WebLogic 12.2.1.2
  • WebLogic 12.2.1.3
3+gp_7L  
FWNO/)~t  
\8%64ZL`  
解决方案: }R#YO$J7  
如果您不依赖T3协议进行JVM通信,可通过暂时阻断T3协议缓解此漏洞带来的影响。 R=jIVw'  
  • 进入Weblogic控制台,在base_domain配置页面中,进入“安全”选项卡页面,点击“筛选器”,配置筛选器;
  • 在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入:* * 7001 deny t3 t3s,保存生效(无需重启)。
4-@D`,3L  
目前官方暂未发布修复补丁,建议您持续关注和跟进。
[ 此帖被正禾在2018-05-10 15:14重新编辑 ]
级别: 小白
发帖
18
云币
33
只看该作者 沙发  发表于: 2018-05-15
Re【漏洞公告】针对WebLogic T3协议反序列化漏洞补丁绕过
LZ休产假回来了,欢迎!欢迎!!
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)