漏洞产品

最近，网上出现了针对WeblogicJava反序列化漏洞（CNVD-2015-07707，对应CVE-2015-4852）补丁绕过的攻击利用分析情况。2015年11月，官方厂商（Oracle公司）发布了Weblogic Java反序列化漏洞补丁，由于该漏洞补丁采用了不完全的黑名单拦截方式，可以被绕过，后续则需要通过两个新补丁来完成修复。

漏洞分析

Weblogic存在一系列反序列化高危安全漏洞，攻击者可以通过构造恶意输入实现远程代码执行。

1、Oracle WebLogicServer远程安全漏洞（CNVD-2017-00919 ，CVE-2017-3248），利用了黑名单之外的反序列化类，通过JRMP协议达到执行任意反序列化payload。Java远程消息交换协议JRMP即JavaRemote MessagingProtocol，是特定于Java技术的、用于查找和引用远程对象的协议。

2、CNVD-2016-02481 ，CVE-2016-0638漏洞，通过将反序列化的对象封装进了weblogic.corba.utils.MarshalledObject，然后再对MarshalledObject进行序列化，生成payload字节码。由于MarshalledObject不在WebLogic黑名单里，可正常反序列化，在反序列化时MarshalledObject对象调用readObject时对MarshalledObject封装的序列化对象再次反序列化，可以绕过黑名单的限制。

影响版本：Oracle WebLogicServer 12.1.2、12.1.2.0、12.1.3、12.1.3.0、12.2.1、12.2.1.0、12.2.1.1、12.2.1.2、10.3.6、10.3.6.0

修复建议

建议相关版本用户及时用最新补丁更新：

1、http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html

2、http://www.oracle.com/technetwork/security-advisory/cpuapr2016v3-2985753.html

附：参考链接：

1、http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html

2、http://www.cnvd.org.cn/flaw/show/CNVD-2017-00919

3、http://www.cnvd.org.cn/flaw/show/CNVD-2016-02481

互盟数据中心与全球性的网络安全设备供应商--Fortinet达成战略合作，全面部署网络安全解决方案，建立入侵检测与防御、防病毒、防拒绝访问攻击、漏洞扫描等全面的网络安全防护技术，为您提供新一代互联网技术安全防护服务，欢迎随时与我们联系咨询相关业务。