当地时间4月17日，北京时间4月18日凌晨，Oracle官方发布了4月份的关键补丁更新CPU（Critical Patch Update）,其中包含一个高危的Weblogic反序列化漏洞(CVE-2018-2628)。

Weblogic T3服务中存在该反序列化漏洞，所有开放Weblogic控制台端口的应用，默认开启T3服务，因此影响较大。若Weblogic开放默认端口7001，并且能够被远程访问，则易受此漏洞影响。通过该漏洞，攻击者可以在未授权的情况下远程执行代码。

安全狗第一时间关注了事件进展。根据最新的研究分析，我们总结出了一些关于如何应对此次漏洞若干建议，敬请用户知晓。

防护建议

本次漏洞的受影响版本如下：Weblogic 10.3.6.0Weblogic 12.1.3.0Weblogic 12.2.1.2Weblogic 12.2.1.3

我们建议用户采用“官方升级”与“临时防护方案”进行防护

1.官方升级

Oracle官方已经在今天的关键补丁更新（CPU）中修复了该漏洞，强烈建议受影响的用户尽快升级更新进行防护。Oracle官方补丁需要用户持有正版软件的许可账号，使用该账号登陆https://support.oracle.com后，可以下载最新补丁“Oracle Critical Patch Update Advisory - January 2017”

链接：http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html

2.临时防护方案

1)进入Weblogic控制台，在base_domain的配置页面中，进入“安全”选项卡页面，点击“筛选器”，进入连接筛选器配置。

2)在连接筛选器中输入：“weblogic.security.net.ConnectionFilterImpl”，在连接筛选器规则中输入：“* * 7001 deny t3 t3s”。

3)保存后规则即可生效，无需重新启动。

连接筛选器规则格式如：“target localAddress localPort action protocols”，其中：target 指定一个或多个要筛选的服务器。

localAddress 可定义服务器的主机地址。(如果指定为一个星号 (*)，则返回的匹配结果将是所有本地 IP 地址。)

localPort 定义服务器正在监听的端口。(如果指定了星号，则匹配返回的结果将是服务器上所有可用的端口)。

action 指定要执行的操作。(值必须为“allow”或“deny”。)

protocols 是要进行匹配的协议名列表。(必须指定下列其中一个协议：http、https、t3、t3s、giop、giops、dcom 或 ftp。) 如果未定义协议，则所有协议都将与一个规则匹配。