vlambda博客
学习文章列表

【威胁预警】:WebSphere Application Server远程代码执行漏洞(CVE-2018-1567)

威胁名称

WebSphere Application Server远程代码执行漏洞(CVE-2018-1567)

发布日期

 2018-09-11

漏洞描述

IBM WebSphere Application Server 7.0、8.0、8.5和9.0存在漏洞,允许攻击者通过SOAP连接器远程执行任意Java代码,并使用来自不可信来源的序列化对象。

攻击者成功利用该漏洞可成功获取服务器访问权限(Gain Access)。漏洞CVSS基础评分9.8分,当前分值为8.5分,建议立即修复。

检测方案

检测IBM WebSphere Application Server版本以确认中间件是否在漏洞影响范围。

方法一:登录websphere管理平台首页就能看到版本信息

方法二:可以进入

\usr\IBM\WebSphere\AppServer\bin 下执行./versionInfo.sh查看版本

方法三:打开日志文件

\usr\IBM\WebSphere\AppServer\profiles\AppSrv01\logs\server1\SystemOut.log第一行就会显示websphere版本信息。

在影响范围内的IBM WebSphere Application Server均应进行升级或修复。

漏洞影响


IBM WebSphere Application Server 7.0

IBM WebSphere Application Server 8.0

IBM WebSphere Application Server 8.5

IBM WebSphere Application Server 9.0

修复方案

IBM已在官网提供对应不同版本的修复方案(需登录):

准备

http://www-01.ibm.com/support/docview.wss?rs=180&uid=swg21205991

请针对目标主机系统下载对应版本的Update Installer(适配系统AIX, HP-UX, IBM i, Linux, Solaris, Windows)。

7.0.0.45版本修复方案

ftp://public.dhe.ibm.com/software/websphere/appserv/support/fixes/PI95973/7.0.0.45/readme.txt

https://www-945.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm%2FWebSphere&product=ibm/WebSphere/WebSphere+Application+Server&release=All&platform=All&function=fixId&fixids=7.0.0.45-WS-WAS-IFPI95973&includeSupersedes=0

8.0.0.15版本修复方案

ftp://public.dhe.ibm.com/software/websphere/appserv/support/fixes/PI95973/8.0.0.15/readme.txt

https://www-945.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm%2FWebSphere&product=ibm/WebSphere/WebSphere+Application+Server&release=All&platform=All&function=fixId&fixids=8.0.0.15-WS-WAS-IFPI95973&includeSupersedes=0

8.5.5.11至8.5.5.14版本修复方案

ftp://public.dhe.ibm.com/software/websphere/appserv/support/fixes/PI95973/8.5.5.14/readme.txt

https://www-945.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm%2FWebSphere&product=ibm/WebSphere/WebSphere+Application+Server&release=All&platform=All&function=fixId&fixids=8.5.5.11-WS-WAS-IFPI95973&includeSupersedes=0

9.0.0.4至9.0.0.8版本修复方案

ftp://public.dhe.ibm.com/software/websphere/appserv/support/fixes/PI95973/9.0.0.8/readme.txt

https://www-945.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm%2FWebSphere&product=ibm/WebSphere/WebSphere+Application+Server&release=All&platform=All&function=fixId&fixids=9.0.0.4-WS-WAS-IFPI95973&includeSupersedes=0

修复过程简述:

确认符合版本的补丁,并选择Continue进行下载,如图所示(7.0.0.45为例):

查看对应操作手册进行修复,建议在测试环境使用修复步骤如下,确认补丁可用且不影响业务的正常运行的情况下,在正式环境下进行修复:

1. 如果对应版本的补丁扩展名是.pak,则保存.pak文件至一个自定的修复目录下(步骤6将使用该目录)即可,如果是.zip则需解压至该修复目录下。

2. 关闭WebSphere应用服务器(Windows系统中执行setupCmdLine.sh,*nix系统中执行setupCmdLine.sh以停止并卸载正在运行的WebSphere实例)。

3. IBM i系统用户,参考链接http://www14.software.ibm.com/webapp/wsbroker/redirect?version=compass&product=was-nd-iseries&topic=rins_update 其他系统运行Update Installer并执行下一步。

4. 输入WebSphere路径,用于确认补丁安装位置。

5. 选择”Install maintenance package”操作以安装修复包。

6. 选择.pak或.zip的解压目录,位于步骤1中修复目录中。

7. 保留安装程序的建议并选择Next进行下一步。

8. 出了Windows之外所有平台,在安装前信息面板中,使用“验证权限”来验证用户是否有权限将更新应用到与所选维护相关文件中。请确认当前权限及文件权限无误后,单击Next开始安装。

9. 重启WebSphere Application Server。

参考文献

[1]: 漏洞危害说明,https://exchange.xforce.ibmcloud.com/vulnerabilities/143024

[2]: 漏洞评分细则,https://exchange.xforce.ibmcloud.com/vulnerabilities/143024

[3]: IBM修复文档,https://www-01.ibm.com/support/docview.wss?uid=ibm10730503