cve-2018-2893 WebLogic

最近爆出来了新的漏洞cve-2018-2893

一、背景介绍

　　　　WebLogic是美国Oracle公司出品的一个Application Server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。

1.1漏洞描述

　　　　近日研究人员发现了一个Oracle WebLogic Server的远程代码执行漏洞(CVE-2018-2893)，通过该漏洞攻击者可以在未授权的情况下远程执行任意代码。该漏洞主要利用JDK反序列化漏洞结合JRMP协议漏洞（CVE-2018-2628）绕过了黑名单限制，JDK7u21、JDK8u20之前的版本都存在此漏洞。攻击者可以在未授权的情况下将Payload封装在T3协议中，通过对T3协议中的Payload进行反序列化，从而实现对存在漏洞的WebLogic组件进行远程攻击，执行任意代码并可获取目标系统的所有权限。

1.2漏洞编号

CVE-2018-2893

1.3漏洞等级

高危

二、修复建议

2.1受影响版本

WebLogic 10.3.6.0

WebLogic 12.1.3.0

WebLogic 12.2.1.2

WebLogic 12.2.1.3

2.2漏洞检测

检查WebLogic的版本号是否为受影响版本。

检查是否开启了WebLogic的T3服务。

2.3解决方案

***前提是最新补丁***

　　1.过滤T3协议

　　2.设置Nginx反向代理

　　3.升级到最新JDK

　　JEP290（JDK8u121，7u131，6u141）

 

既然提到了这个问题，那么就在这里详细说说：
Tomcat是Apache基金会提供的Servlet容器，它支持JSP, Servlet和JDBC等J2EE关键技术，所以用户可以用Tomcat开发基于数据库，Servlet和JSP页面的Web应用，这是没有问题的。
但是，Tomcat却不是EJB容器；也就是说，Tomcat不支持J2EE的重要技术之一，EJB。那么，使用EJB组件开发的Web应用程序就无法在Tomcat下面运行。众所周知，EJB是分布式应用程序的核心技术，所以说凡是需要使用EJB来开发的应用（例如，银行、电信等大型的分布式应用系统）就不能用Tomcat了。这也就是很多公司不选择Tomcat的原因。
至于支持EJB的应用服务器，Weblogic( Oracle), WebSphere（IBM)和JBoss( Redhat)都是符合J2EE规范的EJB容器，所以都可以用来开发大型的分布式应用程序。
所以，原则上来说，只要你要开发基于EJB组件的应用，上述三种任选一个都是可以的。唯一的区别是，Weblogic和WebSphere都是付费的，JBoss是开源免费的。
很多公司为了省钱，选择了JBoss作为应用服务器，但是，开源免费也就意味着厂商不会为终端用户直接负责；所以，当JBoss服务器出现任何问题......元芳，你怎么看？
总的来说，Weblogic和WebSphere还有JBoss都有人用，但是很多公司拿着这些大玩意儿实际上干的也只是Tomcat级别的项目，所以如此一来，差别也就不大了，估计楼主吐槽是因为这个吧。
不知道这么说是不是客观，个人意见，仅供参考

你能不能通过对Tomcat进行配置实现webLogic已经封装好的功能？最简单的比如EJB发布、jndi数据源的配置等。

你能不能通过对Tomcat进行设置实现日志管理，内存管理，资源配置管理？

如果你的Tomcat出现问题，你能不能通过有限的信息查找故障，排除故障？

如果你能，就和公司说，有买Weblogic的钱，不如给你加点薪，让你负责项目的部署实施。

不能就不用问这种问题了。