【威胁预警】:WebSphere Application Server远程代码执行漏洞(CVE-2018-1567)
威胁名称
WebSphere Application Server远程代码执行漏洞(CVE-2018-1567)
发布日期
2018-09-11
漏洞描述
IBM WebSphere Application Server 7.0、8.0、8.5和9.0存在漏洞,允许攻击者通过SOAP连接器远程执行任意Java代码,并使用来自不可信来源的序列化对象。
攻击者成功利用该漏洞可成功获取服务器访问权限(Gain Access)。漏洞CVSS基础评分9.8分,当前分值为8.5分,建议立即修复。
检测方案
检测IBM WebSphere Application Server版本以确认中间件是否在漏洞影响范围。
方法一:登录websphere管理平台首页就能看到版本信息
方法二:可以进入
\usr\IBM\WebSphere\AppServer\bin 下执行./versionInfo.sh查看版本
方法三:打开日志文件
\usr\IBM\WebSphere\AppServer\profiles\AppSrv01\logs\server1\SystemOut.log第一行就会显示websphere版本信息。
在影响范围内的IBM WebSphere Application Server均应进行升级或修复。
漏洞影响
IBM WebSphere Application Server 7.0
IBM WebSphere Application Server 8.0
IBM WebSphere Application Server 8.5
IBM WebSphere Application Server 9.0
修复方案
IBM已在官网提供对应不同版本的修复方案(需登录):
准备
http://www-01.ibm.com/support/docview.wss?rs=180&uid=swg21205991
请针对目标主机系统下载对应版本的Update Installer(适配系统AIX, HP-UX, IBM i, Linux, Solaris, Windows)。
7.0.0.45版本修复方案
ftp://public.dhe.ibm.com/software/websphere/appserv/support/fixes/PI95973/7.0.0.45/readme.txt
https://www-945.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm%2FWebSphere&product=ibm/WebSphere/WebSphere+Application+Server&release=All&platform=All&function=fixId&fixids=7.0.0.45-WS-WAS-IFPI95973&includeSupersedes=0
8.0.0.15版本修复方案
ftp://public.dhe.ibm.com/software/websphere/appserv/support/fixes/PI95973/8.0.0.15/readme.txt
https://www-945.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm%2FWebSphere&product=ibm/WebSphere/WebSphere+Application+Server&release=All&platform=All&function=fixId&fixids=8.0.0.15-WS-WAS-IFPI95973&includeSupersedes=0
8.5.5.11至8.5.5.14版本修复方案
ftp://public.dhe.ibm.com/software/websphere/appserv/support/fixes/PI95973/8.5.5.14/readme.txt
https://www-945.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm%2FWebSphere&product=ibm/WebSphere/WebSphere+Application+Server&release=All&platform=All&function=fixId&fixids=8.5.5.11-WS-WAS-IFPI95973&includeSupersedes=0
9.0.0.4至9.0.0.8版本修复方案
ftp://public.dhe.ibm.com/software/websphere/appserv/support/fixes/PI95973/9.0.0.8/readme.txt
https://www-945.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm%2FWebSphere&product=ibm/WebSphere/WebSphere+Application+Server&release=All&platform=All&function=fixId&fixids=9.0.0.4-WS-WAS-IFPI95973&includeSupersedes=0
修复过程简述:
确认符合版本的补丁,并选择Continue进行下载,如图所示(7.0.0.45为例):
查看对应操作手册进行修复,建议在测试环境使用修复步骤如下,确认补丁可用且不影响业务的正常运行的情况下,在正式环境下进行修复:
1. 如果对应版本的补丁扩展名是.pak,则保存.pak文件至一个自定的修复目录下(步骤6将使用该目录)即可,如果是.zip则需解压至该修复目录下。
2. 关闭WebSphere应用服务器(Windows系统中执行setupCmdLine.sh,*nix系统中执行setupCmdLine.sh以停止并卸载正在运行的WebSphere实例)。
3. IBM i系统用户,参考链接http://www14.software.ibm.com/webapp/wsbroker/redirect?version=compass&product=was-nd-iseries&topic=rins_update 其他系统运行Update Installer并执行下一步。
4. 输入WebSphere路径,用于确认补丁安装位置。
5. 选择”Install maintenance package”操作以安装修复包。
6. 选择.pak或.zip的解压目录,位于步骤1中修复目录中。
7. 保留安装程序的建议并选择Next进行下一步。
8. 出了Windows之外所有平台,在安装前信息面板中,使用“验证权限”来验证用户是否有权限将更新应用到与所选维护相关文件中。请确认当前权限及文件权限无误后,单击Next开始安装。
9. 重启WebSphere Application Server。
参考文献
[1]: 漏洞危害说明,https://exchange.xforce.ibmcloud.com/vulnerabilities/143024
[2]: 漏洞评分细则,https://exchange.xforce.ibmcloud.com/vulnerabilities/143024
[3]: IBM修复文档,https://www-01.ibm.com/support/docview.wss?uid=ibm10730503