Oracle发布季度补丁更新 修复远程代码执行漏洞

2018年7月18日，美国甲骨文（Oracle）公司官方发布了季度补丁更新，其中修复了一个 Oracle WebLogic Server 远程代码执行漏洞 CVE-2018-2893，此漏洞是对编号为 CVE-2018-2628 修复的绕过，攻击者同样可以在未身份验证的情况下对 WebLogic 进行攻击。

影响范围

通过远程代码执行漏洞 CVE-2018-2893，攻击者可以在未授权的情况下远程执行代码。攻击者只需要发送精心构造的T3协议数据，就可以获取目标服务器的权限。攻击者可利用该漏洞控制组件，影响数据的可用性、保密性和完整性。该漏洞的影响范围如下：

Oracle WebLogic Server 10.3.6.0

Oracle WebLogic Server 12.1.3.0

Oracle WebLogic Server 12.2.1.2

Oracle WebLogic Server 12.2.1.3

以上均为官方支持的版本。

关于Oracle WebLogic Server

Oracle FusionMiddleware（Oracle 融合中间件）是甲骨文公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle 的 WebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。

漏洞CVE-2018-2628

WebLogic Server 使用 T3 协议在 WebLogic Server 和客户端间传输数据和通信，由于 WebLogic 的 T3 协议和 Web 协议使用相同的端口，导致在默认情况下，WebLogic Server T3 协议通信和 Web 端具有相同的访问权限。易受攻击的 WebLogic 服务允许未经身份验证的攻击者通过 T3 网络访问及破坏Oracle WebLogic Server。此漏洞的成功攻击可能导致攻击者接管 Oracle WebLogic Server，造成远程代码执行。