近日，国家信息安全漏洞库（CNNVD）收到关于WebLogic Server Java反序列化漏洞（CNNVD-201511-290）补丁绕过的情况报送。Oracle官方于2015年对该漏洞发布修复补丁（CNPD-201511-0265），由于该补丁采用了“不完全的”黑名单拦截方式进行修复，远程攻击者可利用CNNVD-201701-581/CNNVD-201604-411漏洞绕过该补丁，重新利用CNNVD-201511-290漏洞对用户主机发起攻击。目前，Oracle官方已对CNNVD-201701-581和CNNVD-201604-411漏洞发布修复补丁（CNPD-201701-0447、CNPD-201604-0293），请受影响用户及时更新并持续关注 WebLogic相关公告。

一、 漏洞简介

       Oracle WebLogic Server是美国甲骨文（Oracle）公司的一款适用于云环境和传统环境的应用服务器，它提供了一个现代轻型开发平台，支持应用从开发到生产的整个生命周期管理，并简化了应用的部署和管理。

       CNNVD-201511-290：

       WebLogic 10.3.6.0, 12.1.2.0, 12.1.3.0, 12.2.1.0版本中存在Java反序列化漏洞（CNNVD-201511-290，CVE-2015-4852）。远程攻击者可借助发送到TCP 7001端口的T3协议流量中特制的序列化Java对象，利用该漏洞执行任意代码。2015年Oracle官方已对该漏洞发布相关补丁（CNPD-201511-0265）。由于该漏洞的补丁采用黑名单的方式过滤危险的反序列化类，这种修复方式存在被绕过的风险。

        CNNVD-201604-411、CNNVD-201701-581：

       2016年4月与2017年1月，Oracle官方分别发布了两个WebLogic Server组件安全漏洞（CNNVD-201604-411 、CVE-2016-0638和CNNVD-201701-581、CVE-2017-3248），影响WebLogic 10.3.6.0, 12.1.3.0,12.2.1.0, 12.2.1.1 多个版本。上述漏洞均利用了黑名单之外的反序列化类，进而绕过CNNVD-201511-290漏洞补丁，导致远程攻击者可利用CNNVD-201511-290漏洞在目标系统上执行任意代码，甚至可获得网站服务器控制权。

二、修复措施

       目前，Oracle官方已针对上述漏洞发布安全公告。请受影响用户及时检查并更新漏洞修复补丁以消除漏洞影响。由于Oracle所采用的补丁修复模式有一定的局限性，建议持续关注WebLogic相关公告。

       官方公告：

       漏洞预警由CNNVD技术支撑单位——北京启明星辰信息安全技术有限公司提供支持。

       CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。

       联系方式: [email protected]