WebLogic CVE-2018-2628漏洞修复说明手册

1、 WebLogic CVE-2018-2628 漏洞修复说明手册 事件概要：北京时间4月18日凌晨，Oracle官方发布了4月份的关键补丁更新CPU（CriticalPatchUpdate），其中包含一个高危的Weblogic反序列化漏洞(CVE-2018-2628)，通过该漏洞，攻击者可以在未授权的情况下远程执行代码。攻击者只需要发送精心构造的T3协议数据，就可以获取目标服务器的权限。攻击者可利用该漏洞控制组件，影响数据的可用性、保密性和完整性。BUG 描述：此漏洞产生于Weblogic T3服务，所有开放Weblogic控制台端口的应用，均会默认开启T3服务，因此会造成较大范围的影响。根据

2、绿盟态势感知平台查询的结果，在全球范围内对互联网开放Weblogic服务的资产数量多达19,229，其中归属中国地区的受影响资产数量为1,787。BUG 影响：此BUG为高危级！由于此漏洞产生于Weblogic T3服务，当开放Weblogic控制台端口（默认为7001端口）时，T3服务会默认开启，因此会造成较大影响，结合曾经爆出的WeblogicWLS 组件漏洞（CVE-2017-10271），不排除会有攻击者利用挖矿的可能，因此，建议受影响企业用户尽快部署防护措施。受影响的版本：1.Weblogic 官方还在支持的版本Weblogic Server Weblogic Server Webl

3、ogic Server Weblogic Server 2.Weblogic 官方不在支持的版本Weblogic Server 9WeblogicServer 10WeblogicServer 10.3WeblogicServer 11g（除上述版本外）Weblogic Server 12c（除上述版本外）BUG 补丁：Oracle官方发布补丁，见下表：WLS ReleaseRequired PatchesPSU .180417 (Patch 27342434)PSU .180417 (Patch 27338939)PSU .180417 (Patch 27419391)PSU .180417

4、 (Patch 27395085)临时方案方案一：注：此方案会禁止所有t3协议访问，会导致无法使用命令行停止weblogic。1.进入Weblogic控制台，在base_domain的配置页面中，进入“安全”选项卡页面，点击“筛选器”，进入连接筛选器配置。2.在连接筛选器中输入：.ConnectionFilterImpl，在连接筛选器规则中输入：* * 7001 deny t3 t3s3.保存后规则即可生效，需要重新启动。使用检测脚本，可看到防护效果已经生效：方案二：注：此方案可以添加允许的t3协议访问，会禁止其他的未添加的t3协议访问，添加允许访问的ip后不会导致无法使用命令行停止weblo

5、gic。（推荐使用此方案）1. 进入Weblogic控制台，在base_domain的配置页面中，进入“安全”选项卡页面，点击“筛选器”，进入连接筛选器配置。2. 在连接筛选器中输入：.ConnectionFilterImpl，在连接筛选器规则中输入：ip * * allow t3 （ip为允许的ip）/0 * *deny t3 t3s注：如果受管节点与管理节点不在同一ip上时，需要把受管节点ip添加为允许ip。3.保存后规则即可生效，需要重新启动。使用检测脚本，可看到防护效果已经生效：注：连接筛选器规则格式如：target localAddress localPort action prot

6、ocols，其中：target 指定一个或多个要筛选的服务器。localAddress 可定义服务器的主机地址。(如果指定为一个星号 (*)，则返回的匹配结果将是所有本地 IP 地址。)localPort 定义服务器正在监听的端口。(如果指定了星号，则匹配返回的结果将是服务器上所有可用的端口)。action 指定要执行的操作。(值必须为“allow”或“deny”。)protocols 是要进行匹配的协议名列表。(必须指定下列其中一个协议：http、https、t3、t3s、giop、giops、dcom 或 ftp。) 如果未定义协议，则所有协议都将与一个规则匹配。解决方案（安装补丁PSU2

7、0180417）10.3.6补丁安装（目前无效）注：对于10.3.6版本，目前发现更新补丁后，使用漏洞验证脚本进行测试，发现该漏洞没有被修复，因此对于该版本，推荐使用临时方案进行漏洞修复。至于进一步的进展，我们也会随时关注Oracle官方的说明。1、使用weblogic安装用户登录到中间件服务器；2、关闭所有的weblogic节点；3、在weblogic安装路径（如：weblogic/Oracle/middleware/wls1036/）下，进入bsu文件夹如：weblogic/Oracle /middleware/wls1036/utils/bsu4、执行”./bsu.sh”生成cache_

8、dir文件夹5、使用FTP以二进制方式将补丁包上传到cache_dir目录中6、进入cache_dir目录，解压补丁包“unzip p27453773_1036_Generic.zip”7、进入bsu目录执行上述配置好的命令：8、验证安装：（1）通过bsu命令验证检查；（2）通过启动日志验证：启动weblogic服务，在后台的输出信息中看到 “.180417”版本字样，表示安装成功；（3）通过console页面验证：登录weblogic的控制台，进入左侧 “环境”- 服务器 ，选择其中任意一个服务器，之后进入“监视”-“一般信息”可查看指定server的详细版本号，验证补丁安装成功；9、补丁回

9、退，执行命令检查回退结果：10、注意事项：执行bsu.sh报错java.lang.OutOfMemoryError: Java heap space解决办法：修改bsu.sh将MEM_ARGS=-Xms4096m -Xmx4096m12.1.3补丁安装（目前无效）注：对于12c版本，目前发现更新补丁后，使用漏洞验证脚本进行测试，发现该漏洞没有被修复，因此对于该版本，推荐使用临时方案进行漏洞修复。至于进一步的进展，我们也会随时关注Oracle官方的说明。从WebLogic 12c版本开始，WebLogic 更新了更新补丁的方式，改由opatch执行更新。以下步骤适用于所有12c版本。1.检查OR

10、ACLE_HOME环境变量为已安装的ORACLE WEBLOGIC SERVER的目录2.停止所有的服务器（AdminServer和所有Managed服务器）3.设置环境变量export JAVA_HOME=/usr/java/jdk1.7.0_79export JAVA_BIN=/usr/java/jdk1.7.0_79/binexport PATH=$JAVA_HOME/bin:$PATHexportCLASSPATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jarexportORACLE_HOME=/home/weblogic/Oracl

11、e/Middleware/Oracle_Home注：斜体加粗部分需要针对定制环境修改4.进入Opatch目录中将补丁程序zip文件压缩到tmp_dir中unzip dtmp_dir/ p27342434_122130_Generic.zip5.进入解压目录并执行opatch，执行 opatch安装命令cd tmp_dir/27342434 $ORACLE_HOME/OPatch/opatchapply-jdk$JAVA_HOME6.验证补丁是否安装$ORACLE_HOME/OPatch/opatchlsinventory已打补丁的输出中可以看到如下字样卸载补丁若在安装该补丁程序时遇到任何问题，请将该补丁删除1.停止所有的服务器（AdminServer和所有Managed服务器）2.运行opacth卸载该补丁程序$ORACLE_HOME/OPatch/opatchrollback -id 273424343.重新启动所有服务器（AdminServer和所有托管服务器）漏洞验证 使用pyth