转载

CVE-2019-2890：WebLogic 反序列化漏洞预警

0x00 漏洞背景

2019年10月16日，360CERT监测到2019年10月16日WebLogic官方发布了CVE-2019-2890漏洞预警，漏洞等级严重。

WebLogic 是 Oracle 公司出品的基于 JavaEE 架构的中间件，用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用。

Weblogic在利用T3协议进行远程资源加载调用时，默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic的反序列化黑名单，使攻击者可以通过T3协议对存在漏洞的Weblogic组件实施远程攻击。

由于T3协议在Weblogic控制台开启的情况下默认开启，而Weblogic默认安装会自动开启控制台，所以攻击者可通过此漏洞造成远程代码执行，以控制Weblogic服务器。

360CERT判断漏洞等级为严重，危害面/影响面广。建议使用WebLogic的用户及时安装最新补丁，以免遭受黑客攻击。

WebLogic Server 10.3.6.0

WebLogic Server 12.1.3.0

WebLogic Server 12.2.1.3

升级补丁

Oracle官方更新链接地址： https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html

禁用T3协议

进入WebLogic控制台，在base_domain配置页面中，进入安全选项卡页面，点击筛选器，配置筛选器。
在连接筛选器中输入：weblogic.security.net.ConnectionFilterImpl，在连接筛选器规则框中输入127.0.0.1 * * allow t3 t3s,0.0.0.0/0 * * deny t3 t3s
保存生效（需重启）