北京时间2018年10月17日，Oracle官方发布了10月份的关键补丁（CPU，Critical Patch Update），其中包含一个高危Weblogic反序列化漏洞(CVE-2018-3245)。该漏洞通过JRMP 协议，利用RMI机制的缺陷达到了执行任意反序列化代码的目的。攻击者可以在未经授权的情况下利用该漏洞，远程发送被封装在T3协议的攻击数据，进而在WebLogic Server中执行反序列化操作，从而达到任意代码执行的目的。

安全狗攻防实验室第一时间关注了事件进展。根据最新的研究分析，我们总结出了一些防护建议，敬请用户知晓。

一、官方升级Oracle 官方已经在本次的关键补丁更新（CPU）中修复了该漏洞，强烈建议受影响的用户尽快升级更新进行防护。用户可以参考官方提供的修复方式：https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html

二、控制 T3 协议的访问此漏洞产生于 WebLogic 的 T3 服务，因此可通过控制 T3 协议的访问来临时阻断针对该漏洞的攻击。当开放 WebLogic 控制台端口（默认为 7001 端口）时，T3 服务会默认开启。具体操作如下：

（1）进入 WebLogic 控制台，在 base_domain 的配置页面中，进入“安全”选项卡页面，点击“筛选器”选项卡，进入连接筛选器配置

（2）在连接筛选器中输入：“weblogic.security.net.ConnectionFilterImpl”，在连接筛选器规则中输入：“127.0.0.1 * * allow t3 t3s，0.0.0.0/0 * * deny t3 t3s”（使得t3 和 t3s 协议的所有端口只允许本地访问）。

（3）保存后需重新启动，规则方可生效。

三、升级 JDK 版本建议用户将 JDK 升级到 jdk-8u20 以上的版本