cve-2018-2893 WebLogic

最近爆出來了新的漏洞cve-2018-2893

 

1、背景介紹

　　　　WebLogic是美國Oracle公司出品的一個Application Server，確切的說是一個基於JAVAEE架構的中間件，WebLogic是用於開發、集成、部署和管理大型分佈式Web應用、網絡應用和數據庫應用的Java應用服務器。將Java的動態功能和Java Enterprise標準的安全性引入大型網絡應用的開發、集成、部署和管理之中。

1.1漏洞描述

　　　　近日研究人員發現了一個Oracle WebLogic Server的遠程代碼執行漏洞(CVE-2018-2893)，經過該漏洞攻擊者能夠在未受權的狀況下遠程執行任意代碼。該漏洞主要利用JDK反序列化漏洞結合JRMP協議漏洞（CVE-2018-2628）繞過了黑名單限制，JDK7u2一、JDK8u20以前的版本都存在此漏洞。攻擊者能夠在未受權的狀況下將Payload封裝在T3協議中，經過對T3協議中的Payload進行反序列化，從而實現對存在漏洞的WebLogic組件進行遠程攻擊，執行任意代碼並可獲取目標系統的全部權限。

1.2漏洞編號

CVE-2018-2893

1.3漏洞等級

高危

2、修復建議

2.1受影響版本

WebLogic 10.3.6.0

WebLogic 12.1.3.0

WebLogic 12.2.1.2

WebLogic 12.2.1.3

2.2漏洞檢測

檢查WebLogic的版本號是否爲受影響版本。

檢查是否開啓了WebLogic的T3服務。

2.3解決方案

***前提是最新補丁***

　　1.過濾T3協議

　　2.設置Nginx反向代理

　　3.升級到最新JDK

　　JEP290（JDK8u121，7u131，6u141）

 

 

既然提到了這個問題，那麼就在這裏詳細說說：
Tomcat是Apache基金會提供的Servlet容器，它支持JSP, Servlet和JDBC等J2EE關鍵技術，因此用戶能夠用Tomcat開發基於數據庫，Servlet和JSP頁面的Web應用，這是沒有問題的。
可是，Tomcat卻不是EJB容器；也就是說，Tomcat不支持J2EE的重要技術之一，EJB。那麼，使用EJB組件開發的Web應用程序就沒法在Tomcat下面運行。衆所周知，EJB是分佈式應用程序的核心技術，因此說凡是須要使用EJB來開發的應用（例如，銀行、電信等大型的分佈式應用系統）就不能用Tomcat了。這也就是不少公司不選擇Tomcat的緣由。
至於支持EJB的應用服務器，Weblogic( Oracle), WebSphere（IBM)和JBoss( Redhat)都是符合J2EE規範的EJB容器，因此均可以用來開發大型的分佈式應用程序。
因此，原則上來講，只要你要開發基於EJB組件的應用，上述三種任選一個都是能夠的。惟一的區別是，Weblogic和WebSphere都是付費的，JBoss是開源免費的。
不少公司爲了省錢，選擇了JBoss做爲應用服務器，可是，開源免費也就意味着廠商不會爲終端用戶直接負責；因此，當JBoss服務器出現任何問題......元芳，你怎麼看？
總的來講，Weblogic和WebSphere還有JBoss都有人用，可是不少公司拿着這些大玩意兒實際上乾的也只是Tomcat級別的項目，因此如此一來，差異也就不大了，估計樓主吐槽是由於這個吧。
不知道這麼說是否是客觀，我的意見，僅供參考

 

你能不能經過對Tomcat進行配置實現webLogic已經封裝好的功能？最簡單的好比EJB發佈、jndi數據源的配置等。你能不能經過對Tomcat進行設置實現日誌管理，內存管理，資源配置管理？若是你的Tomcat出現問題，你能不能經過有限的信息查找故障，排除故障？若是你能，就和公司說，有買Weblogic的錢，不如給你加點薪，讓你負責項目的部署實施。不能就不用問這種問題了。