获官方致谢 360代码卫士协助Oracle公司修复高危漏洞

近日，360企业安全集团代码卫士团队安全研究人员发现Oracle公司旗下产品Oracle WebLogic Server的多个高危安全漏洞（CVE-2018-3245、CVE-2018-3248、CVE-2018-3249、CVE-2018-3252），并第一时间向Oracle公司报告，协助其修复漏洞。

Oracle WebLogic Server 是目前全球J2EE使用最广泛的商业应用中间件之一。北京时间2018年10月17日，Oracle公司发布了关键补丁更新公告（Oracle Critical Patch Update Advisory - October 2018），公开致谢360企业安全集团代码卫士团队，并且发布相应的补丁修复漏洞。

图 Oracle公司官方公告

图 致谢360代码卫士

在Oracle公司本次修复的漏洞中，CVE-2018-3245 和 CVE-2018-3252均为高危反序列化漏洞，影响多个WebLogic大版本，CVSS评分为9.8分，一定条件下，可以造成远程代码执行。本文将针对这两个漏洞进行简单描述。

0x00 CVE-2018-3245 (JRMP Deserialization via T3)

该漏洞是一个绕过补丁的漏洞，在Oracle 7月份修复JRMP反序列化漏洞的补丁功能中可以被绕过，导致补丁无效。该漏洞高危，可远程执行任意代码。

0x01 CVE-2018-3252 (Deserialization via HTTP)

这个漏洞的触发并不是官方描述的T3协议，而是通过HTTP的方式即可触发（危害更大，HTTP一般防火墙均可通过）。由于补丁发布时间不久，互联网上还有大量未及时打补丁的WebLogic Server。该漏洞的细节暂时不公开。

0x02 参考链接

Oracle Critical Patch Update Advisory - October 2018

(https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html)

0x03 关于360代码卫士

360代码卫士是360企业安全集团旗下专注于软件源代码安全的产品线，能力涵盖了源代码缺陷检测、源代码合规检测、源代码溯源检测三大方向，分别解决软件开发过程中的安全缺陷和漏洞问题、代码编写的合规性问题、开源代码安全管控问题。“360代码卫士”系列产品可支持Windows、Linux、Android、Apple iOS、IBM AIX等平台上的源代码安全分析，支持的编程语言涵盖C、C++、C#、Objective-C、Java、JSP、JavaScript、PHP、Python、Go、区块链智能合约Solidity等。目前360代码卫士已应用于上百家大型机构，帮助用户构建自身的代码安全保障体系，消减软件代码安全隐患。