В последнее время исследователи команды Безопасность кода группы Безопасность предприятия 360 обнаружили несколько уязвимостей безопасности с высоким риском в продуктах Oracle WebLogic Server (CVE-2018-3245, CVE-2018-3248, CVE-2018-3249, CVE-2018-3252)), и сразу сообщили Oracle , чтобы помочь ему исправить эти уязвимости.
Oracle WebLogic Server является одним из наиболее широко используемых бизнес-приложений в мире. 17 октября 2018 года по Пекинскому времени Oracle выпустил уведомление об обновлении ключевых патчей (Oracle Critical Patch Update Advisory – October 2018) и публично благодарил команде Безопасность кода группы Безопасность предприятия 360. Кроме гото, он выпустил соответствующие патчи для исправления уязвимостей.
Рисунок: официальное объявление Oracle
Рисунок: благодарить команде Безопасность кода группы Безопасность предприятия 360
Среди уязвимостей, зафиксированных Oracle, CVE-2018-3245 и CVE-2018-3252 связанные с десериализацией высокого риска, они влияют на несколько версий WebLogic. Балл CVSS составляет 9,8. При определенных условиях удаленный код можетт быть создан ними. В этой статье мы кратко опишем эти две уязвимости.
Обзор уязвимостей
CVE-2018-3245 (JRMP Deserialization via T3)
Эта уязвимость является ошибкой, которая обходит патч и так же может быть обойдена в функции июльского исправления Oracle, устраняющей JRMP- уязвимость десериализации, за тем патч становится неэффективенным. Эта уязвимость с высокому риском удаленно выполняет произвольный код.
CVE-2018-3252 (Deserialization via HTTP)
Триггер этой уязвимости не является официально описанным протоколом T3, но может быть вызван HTTP (более вредно, что HTTP может перейти через общий брандмауэр). Из-за короткого времени выпуска патча, большое количество WebLogic Server не исправлено во времени в Интернете. Детали уязвимости временно не раскрываются.