cve-2018-2893 WebLogic
最近爆出来了新的漏洞cve-2018-2893
一、背景介绍
WebLogic是美国Oracle公司出品的一个Application Server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
1.1漏洞描述
近日研究人员发现了一个Oracle WebLogic Server的远程代码执行漏洞(CVE-2018-2893),通过该漏洞攻击者可以在未授权的情况下远程执行任意代码。该漏洞主要利用JDK反序列化漏洞结合JRMP协议漏洞(CVE-2018-2628)绕过了黑名单限制,JDK7u21、JDK8u20之前的版本都存在此漏洞。攻击者可以在未授权的情况下将Payload封装在T3协议中,通过对T3协议中的Payload进行反序列化,从而实现对存在漏洞的WebLogic组件进行远程攻击,执行任意代码并可获取目标系统的所有权限。
1.2漏洞编号
CVE-2018-2893
1.3漏洞等级
高危
二、修复建议
2.1受影响版本
WebLogic 10.3.6.0
WebLogic 12.1.3.0
WebLogic 12.2.1.2
WebLogic 12.2.1.3
2.2漏洞检测
检查WebLogic的版本号是否为受影响版本。
检查是否开启了WebLogic的T3服务。
2.3解决方案
***前提是最新补丁***
1.过滤T3协议
2.设置Nginx反向代理
3.升级到最新JDK
JEP290(JDK8u121,7u131,6u141)
既然提到了这个问题,那么就在这里详细说说:
Tomcat是Apache基金会提供的Servlet容器,它支持JSP, Servlet和JDBC等J2EE关键技术,所以用户可以用Tomcat开发基于数据库,Servlet和JSP页面的Web应用,这是没有问题的。
但是,Tomcat却不是EJB容器;也就是说,Tomcat不支持J2EE的重要技术之一,EJB。那么,使用EJB组件开发的Web应用程序就无法在Tomcat下面运行。众所周知,EJB是分布式应用程序的核心技术,所以说凡是需要使用EJB来开发的应用(例如,银行、电信等大型的分布式应用系统)就不能用Tomcat了。这也就是很多公司不选择Tomcat的原因。
至于支持EJB的应用服务器,Weblogic( Oracle), WebSphere(IBM)和JBoss( Redhat)都是符合J2EE规范的EJB容器,所以都可以用来开发大型的分布式应用程序。
所以,原则上来说,只要你要开发基于EJB组件的应用,上述三种任选一个都是可以的。唯一的区别是,Weblogic和WebSphere都是付费的,JBoss是开源免费的。
很多公司为了省钱,选择了JBoss作为应用服务器,但是,开源免费也就意味着厂商不会为终端用户直接负责;所以,当JBoss服务器出现任何问题......元芳,你怎么看?
总的来说,Weblogic和WebSphere还有JBoss都有人用,但是很多公司拿着这些大玩意儿实际上干的也只是Tomcat级别的项目,所以如此一来,差别也就不大了,估计楼主吐槽是因为这个吧。
不知道这么说是不是客观,个人意见,仅供参考
你能不能通过对Tomcat进行配置实现webLogic已经封装好的功能?最简单的比如EJB发布、jndi数据源的配置等。
你能不能通过对Tomcat进行设置实现日志管理,内存管理,资源配置管理?
如果你的Tomcat出现问题,你能不能通过有限的信息查找故障,排除故障?
如果你能,就和公司说,有买Weblogic的钱,不如给你加点薪,让你负责项目的部署实施。
不能就不用问这种问题了。