Oracle благодарит Qihoo 360 за исправление уязвимостей Weblogic

24 Окт. 2018 г.Elley
Подробнее о 360 Total Security

В последнее время исследователи команды Безопасность кода группы Безопасность предприятия 360 обнаружили несколько уязвимостей безопасности с высоким риском в продуктах Oracle WebLogic Server (CVE-2018-3245, CVE-2018-3248, CVE-2018-3249, CVE-2018-3252)), и сразу сообщили Oracle , чтобы помочь ему исправить эти уязвимости.

Oracle WebLogic Server является одним из наиболее широко используемых бизнес-приложений в мире. 17 октября 2018 года по Пекинскому времени Oracle выпустил уведомление об обновлении ключевых патчей (Oracle Critical Patch Update Advisory – October 2018) и публично благодарил команде Безопасность кода группы Безопасность предприятия 360. Кроме гото, он выпустил соответствующие патчи для исправления уязвимостей.

Oracle extends thanks to Qihoo 360 for fixing the vulnerabilities of Weblogic
Рисунок: официальное объявление Oracle

Oracle extends thanks to Qihoo 360 for fixing the vulnerabilities of Weblogic
Рисунок: благодарить команде Безопасность кода группы Безопасность предприятия 360

Среди уязвимостей, зафиксированных Oracle, CVE-2018-3245 и CVE-2018-3252 связанные с десериализацией высокого риска, они влияют на несколько версий WebLogic. Балл CVSS составляет 9,8. При определенных условиях удаленный код можетт быть создан ними. В этой статье мы кратко опишем эти две уязвимости.

Обзор уязвимостей
CVE-2018-3245 (JRMP Deserialization via T3)
Эта уязвимость является ошибкой, которая обходит патч и так же может быть обойдена в функции июльского исправления Oracle, устраняющей JRMP- уязвимость десериализации, за тем патч становится неэффективенным. Эта уязвимость с высокому риском удаленно выполняет произвольный код.

CVE-2018-3252 (Deserialization via HTTP)
Триггер этой уязвимости не является официально описанным протоколом T3, но может быть вызван HTTP (более вредно, что HTTP может перейти через общий брандмауэр). Из-за короткого времени выпуска патча, большое количество WebLogic Server не исправлено во времени в Интернете. Детали уязвимости временно не раскрываются.

Подробнее о 360 Total Security