這篇文章將為大家詳細講解有關如何實現(xiàn)WebLogic WLS核心組件反序列化漏洞，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個參考，希望大家閱讀完這篇文章后對相關知識有一定的了解。

網(wǎng)站建設哪家好，找創(chuàng)新互聯(lián)公司！專注于網(wǎng)頁設計、網(wǎng)站建設、微信開發(fā)、小程序制作、集團企業(yè)網(wǎng)站建設等服務項目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了古田免費建站歡迎大家使用！

Oracle FusionMiddleware（Oracle融合中間件）是美國甲骨文（Oracle）公司的一套面向企業(yè)和云環(huán)境的業(yè)務創(chuàng)新平臺。該平臺提供了中間件、軟件集合等功能。Oracle WebLogic Server是其中的一個適用于云環(huán)境和傳統(tǒng)環(huán)境的應用服務器組件。

Oracle官方發(fā)布了4月份的關鍵補丁更新CPU（Critical PatchUpdate），其中包含一個高危的Weblogic反序列化漏洞(CVE-2018-2628)，該漏洞修補不善導致被繞過。Oracle 官方發(fā)布的7月份補丁中修復了該漏洞，分配了漏洞編號CVE-2018-2893。

通過該漏洞，攻擊者可以在未授權的情況下遠程執(zhí)行代碼。攻擊者只需要發(fā)送精心構造的T3協(xié)議數(shù)據(jù)，就可以獲取目標服務器的權限。攻擊者可利用該漏洞控制組件，影響數(shù)據(jù)的可用性、保密性和完整性。

影響范圍

Oracle WebLogic Server 10.3.6.0

Oracle WebLogic Server 12.1.3.0

Oracle WebLogic Server 12.2.1.2

Oracle WebLogic Server 12.2.1.3

以上均為官方支持的版本。

修復方案

1.Oracle 官方已經(jīng)在 7 月份中的補丁中修復了該漏洞，建議受影響的用戶盡快升級更新。

下載地址：http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

2.根據(jù)業(yè)務需求選擇禁用T3協(xié)議。

此漏洞產(chǎn)生于WebLogic的T3服務，因此可通過控制T3協(xié)議的訪問來臨時阻斷針對該漏洞的攻擊。當開放WebLogic控制臺端口（默認為7001端口）時，T3服務會默認開啟。

具體操作：

（1）進入WebLogic控制臺，在base_domain的配置頁面中，進入“安全”選項卡頁面，點擊“篩選器”，進入連接篩選器配置。

（2）在連接篩選器中輸入：weblogic.security.net.ConnectionFilterImpl，在連接篩選器規(guī)則中輸入：127.0.0.1 * * allow t3 t3s，0.0.0.0/0 * *deny t3 t3s（t3和t3s協(xié)議的所有端口只允許本地訪問）。

（3）保存后需重新啟動。

關于如何實現(xiàn)WebLogic WLS核心組件反序列化漏洞就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。

新聞標題：如何實現(xiàn)WebLogicWLS核心組件反序列化漏洞
網(wǎng)址分享：http://jinyejixie.com/article24/jopsje.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供小程序開發(fā)、外貿(mào)建站、搜索引擎優(yōu)化、Google、App開發(fā)、動態(tài)網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)