当地时间7月17日,北京时间7月18日凌晨,Oracle官方发布了7月份(第二季度)关键补丁更新CPU(Critical Patch Update),其中修复了一个4月份(第一季度)CPU补丁中未能完全修复的(CVE-2018-2628)Weblogic反序列化漏洞,此次新修复的漏洞编号为(CVE-2018-2893)。

CVSS 3.0评分:9.8

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

相关链接

更多信息可以参考绿盟科技官方之前发布的关于(CVE-2018-2628)的技术分析与防护方案内容。参考链接如下:

http://blog.nsfocus.net/cve-2018-2628-weblogic/

Oracle官方CPU链接:

http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

漏洞影响范围

  • Weblogic 10.3.6.0
  • Weblogic 12.1.3.0
  • Weblogic 12.2.1.2
  • Weblogic 12.2.1.3

以上均为官方支持的版本

解决方案

Oracle官方已经在本次的关键补丁更新(CPU)中修复了该漏洞,强烈建议受影响的用户尽快升级更新进行防护。

注:Oracle官方补丁需要用户持有正版软件的许可账号,使用该账号登陆https://support.oracle.com后,可以下载最新补丁。