CVE-2018-2628 보안 취약점에 대한 Oracle WLS 권고사항

CVE-2018-2628 취약점에 대한 보안 패치가 2018/04 CPU 릴리즈 되었으나, 해당 패치에 대한 취약점이 또다시 존재하여 이에 대한 오라클 권고사항에 대한 내용

================================================================

1) 자바 역직렬화 취약점 CVE-2018-2628 

Weblogic 서버에서 오픈해 놓은 T3 서비스와 Socket 연결을 맺고, 공격자가 조작한 패킷을 서버 측에 보내어 역 직렬화로 명령을 실행

2) 대상

Oracle WLS 10.3.6 ~ WLS 12.2.1.3

​

3) 목적

2018년 4월 릴리즈 된 오라클 패치(CPU)가 CVE-2018-2628 취약점을 보완하기에는 불완전한 상태

4) 권고 사항

- 2018/04 패치 적용

- JDK 버전을 다음 버전 중 하나로 조정 (권장 : JDK6u191, JDK7u181, JDK8u172)

- 해당 JDK 버전은 일반 Oracle 사이트가 아닌, Oracle Support 사이트에서만 다운로드 가능

- HP, IBM의 경우  Oracle JDK 를 커버하는 IBM JAVA, HP JAVA 버전을 확인 후 적용 (HP, IBM 측에 확인 필요)

​5) 참고 자료

- 해당 내용 문서 ID 2395745.1 (https://support.oracle.com/epmos/faces/DocumentDisplay?_adf.ctrl-state=dbm111pmx_578&id=2395745.1&_afrLoop=177398265611212​)

- JDK 다운로드 문서 ID 1439822.1 (https://support.oracle.com/epmos/faces/SearchDocDisplay?_adf.ctrl-state=dbm111pmx_4&_afrLoop=176202450397136#JDK%206)

================================================================