cve-2018-2893 WebLogic

最近爆出来了新的漏洞cve-2018-2893

 

1、背景介绍

　　　　WebLogic是美国Oracle公司出品的一个Application Server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。

1.1漏洞描述

　　　　近日研究人员发现了一个Oracle WebLogic Server的远程代码执行漏洞(CVE-2018-2893)，经过该漏洞攻击者能够在未受权的状况下远程执行任意代码。该漏洞主要利用JDK反序列化漏洞结合JRMP协议漏洞（CVE-2018-2628）绕过了黑名单限制，JDK7u2一、JDK8u20以前的版本都存在此漏洞。攻击者能够在未受权的状况下将Payload封装在T3协议中，经过对T3协议中的Payload进行反序列化，从而实现对存在漏洞的WebLogic组件进行远程攻击，执行任意代码并可获取目标系统的全部权限。

1.2漏洞编号

CVE-2018-2893

1.3漏洞等级

高危

2、修复建议

2.1受影响版本

WebLogic 10.3.6.0

WebLogic 12.1.3.0

WebLogic 12.2.1.2

WebLogic 12.2.1.3

2.2漏洞检测

检查WebLogic的版本号是否为受影响版本。

检查是否开启了WebLogic的T3服务。

2.3解决方案

***前提是最新补丁***

　　1.过滤T3协议

　　2.设置Nginx反向代理

　　3.升级到最新JDK

　　JEP290（JDK8u121，7u131，6u141）

 

 

既然提到了这个问题，那么就在这里详细说说：
Tomcat是Apache基金会提供的Servlet容器，它支持JSP, Servlet和JDBC等J2EE关键技术，因此用户能够用Tomcat开发基于数据库，Servlet和JSP页面的Web应用，这是没有问题的。
可是，Tomcat却不是EJB容器；也就是说，Tomcat不支持J2EE的重要技术之一，EJB。那么，使用EJB组件开发的Web应用程序就没法在Tomcat下面运行。众所周知，EJB是分布式应用程序的核心技术，因此说凡是须要使用EJB来开发的应用（例如，银行、电信等大型的分布式应用系统）就不能用Tomcat了。这也就是不少公司不选择Tomcat的缘由。
至于支持EJB的应用服务器，Weblogic( Oracle), WebSphere（IBM)和JBoss( Redhat)都是符合J2EE规范的EJB容器，因此均可以用来开发大型的分布式应用程序。
因此，原则上来讲，只要你要开发基于EJB组件的应用，上述三种任选一个都是能够的。惟一的区别是，Weblogic和WebSphere都是付费的，JBoss是开源免费的。
不少公司为了省钱，选择了JBoss做为应用服务器，可是，开源免费也就意味着厂商不会为终端用户直接负责；因此，当JBoss服务器出现任何问题......元芳，你怎么看？
总的来讲，Weblogic和WebSphere还有JBoss都有人用，可是不少公司拿着这些大玩意儿实际上干的也只是Tomcat级别的项目，因此如此一来，差异也就不大了，估计楼主吐槽是由于这个吧。
不知道这么说是否是客观，我的意见，仅供参考

 

你能不能经过对Tomcat进行配置实现webLogic已经封装好的功能？最简单的好比EJB发布、jndi数据源的配置等。你能不能经过对Tomcat进行设置实现日志管理，内存管理，资源配置管理？若是你的Tomcat出现问题，你能不能经过有限的信息查找故障，排除故障？若是你能，就和公司说，有买Weblogic的钱，不如给你加点薪，让你负责项目的部署实施。不能就不用问这种问题了。