最近爆出來了新的漏洞cve-2018-2893
一、背景介紹
WebLogic是美國Oracle公司出品的一個Application Server,確切的說是一個基於JAVAEE架構的中間件,WebLogic是用於開發、集成、部署和管理大型分布式Web應用、網絡應用和數據庫應用的Java應用服務器。將Java的動態功能和Java Enterprise標准的安全性引入大型網絡應用的開發、集成、部署和管理之中。
1.1漏洞描述
近日研究人員發現了一個Oracle WebLogic Server的遠程代碼執行漏洞(CVE-2018-2893),通過該漏洞攻擊者可以在未授權的情況下遠程執行任意代碼。該漏洞主要利用JDK反序列化漏洞結合JRMP協議漏洞(CVE-2018-2628)繞過了黑名單限制,JDK7u21、JDK8u20之前的版本都存在此漏洞。攻擊者可以在未授權的情況下將Payload封裝在T3協議中,通過對T3協議中的Payload進行反序列化,從而實現對存在漏洞的WebLogic組件進行遠程攻擊,執行任意代碼並可獲取目標系統的所有權限。
1.2漏洞編號
CVE-2018-2893
1.3漏洞等級
高危
二、修復建議
2.1受影響版本
WebLogic 10.3.6.0
WebLogic 12.1.3.0
WebLogic 12.2.1.2
WebLogic 12.2.1.3
2.2漏洞檢測
檢查WebLogic的版本號是否為受影響版本。
檢查是否開啟了WebLogic的T3服務。
2.3解決方案
***前提是最新補丁***
1.過濾T3協議
2.設置Nginx反向代理
3.升級到最新JDK
JEP290(JDK8u121,7u131,6u141)
既然提到了這個問題,那么就在這里詳細說說:
Tomcat是Apache基金會提供的Servlet容器,它支持JSP, Servlet和JDBC等J2EE關鍵技術,所以用戶可以用Tomcat開發基於數據庫,Servlet和JSP頁面的Web應用,這是沒有問題的。
但是,Tomcat卻不是EJB容器;也就是說,Tomcat不支持J2EE的重要技術之一,EJB。那么,使用EJB組件開發的Web應用程序就無法在Tomcat下面運行。眾所周知,EJB是分布式應用程序的核心技術,所以說凡是需要使用EJB來開發的應用(例如,銀行、電信等大型的分布式應用系統)就不能用Tomcat了。這也就是很多公司不選擇Tomcat的原因。
至於支持EJB的應用服務器,Weblogic( Oracle), WebSphere(IBM)和JBoss( Redhat)都是符合J2EE規范的EJB容器,所以都可以用來開發大型的分布式應用程序。
所以,原則上來說,只要你要開發基於EJB組件的應用,上述三種任選一個都是可以的。唯一的區別是,Weblogic和WebSphere都是付費的,JBoss是開源免費的。
很多公司為了省錢,選擇了JBoss作為應用服務器,但是,開源免費也就意味着廠商不會為終端用戶直接負責;所以,當JBoss服務器出現任何問題......元芳,你怎么看?
總的來說,Weblogic和WebSphere還有JBoss都有人用,但是很多公司拿着這些大玩意兒實際上干的也只是Tomcat級別的項目,所以如此一來,差別也就不大了,估計樓主吐槽是因為這個吧。
不知道這么說是不是客觀,個人意見,僅供參考
你能不能通過對Tomcat進行配置實現webLogic已經封裝好的功能?最簡單的比如EJB發布、jndi數據源的配置等。
你能不能通過對Tomcat進行設置實現日志管理,內存管理,資源配置管理?
如果你的Tomcat出現問題,你能不能通過有限的信息查找故障,排除故障?
如果你能,就和公司說,有買Weblogic的錢,不如給你加點薪,讓你負責項目的部署實施。
不能就不用問這種問題了。