威胁预警：WebSphere Application Server远程代码执行漏洞（CVE-2018-1567）

Posted 2021-04-01 安全阁

威胁名称

WebSphere Application Server远程代码执行漏洞（CVE-2018-1567）

发布日期

 2018-09-11

漏洞描述

IBM WebSphere Application Server 7.0、8.0、8.5和9.0存在漏洞，允许攻击者通过SOAP连接器远程执行任意Java代码，并使用来自不可信来源的序列化对象。

攻击者成功利用该漏洞可成功获取服务器访问权限（Gain Access）。漏洞CVSS基础评分9.8分，当前分值为8.5分，建议立即修复。

检测方案

检测IBM WebSphere Application Server版本以确认中间件是否在漏洞影响范围。

方法一：登录websphere管理平台首页就能看到版本信息

方法二：可以进入

\usr\IBM\WebSphere\AppServer\bin 下执行./versionInfo.sh查看版本

方法三：打开日志文件

\usr\IBM\WebSphere\AppServer\profiles\AppSrv01\logs\server1\SystemOut.log第一行就会显示websphere版本信息。

在影响范围内的IBM WebSphere Application Server均应进行升级或修复。

漏洞影响

IBM WebSphere Application Server 7.0

IBM WebSphere Application Server 8.0

IBM WebSphere Application Server 8.5

IBM WebSphere Application Server 9.0

修复方案

IBM已在官网提供对应不同版本的修复方案（需登录）：

准备

http://www-01.ibm.com/support/docview.wss?rs=180&uid=swg21205991

请针对目标主机系统下载对应版本的Update Installer（适配系统AIX, HP-UX, IBM i, Linux, Solaris, Windows）。

7.0.0.45版本修复方案

ftp://public.dhe.ibm.com/software/websphere/appserv/support/fixes/PI95973/7.0.0.45/readme.txt

https://www-945.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm%2FWebSphere&product=ibm/WebSphere/WebSphere+Application+Server&release=All&platform=All&function=fixId&fixids=7.0.0.45-WS-WAS-IFPI95973&includeSupersedes=0

8.0.0.15版本修复方案

ftp://public.dhe.ibm.com/software/websphere/appserv/support/fixes/PI95973/8.0.0.15/readme.txt

https://www-945.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm%2FWebSphere&product=ibm/WebSphere/WebSphere+Application+Server&release=All&platform=All&function=fixId&fixids=8.0.0.15-WS-WAS-IFPI95973&includeSupersedes=0

8.5.5.11至8.5.5.14版本修复方案

ftp://public.dhe.ibm.com/software/websphere/appserv/support/fixes/PI95973/8.5.5.14/readme.txt

https://www-945.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm%2FWebSphere&product=ibm/WebSphere/WebSphere+Application+Server&release=All&platform=All&function=fixId&fixids=8.5.5.11-WS-WAS-IFPI95973&includeSupersedes=0

9.0.0.4至9.0.0.8版本修复方案

ftp://public.dhe.ibm.com/software/websphere/appserv/support/fixes/PI95973/9.0.0.8/readme.txt

https://www-945.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm%2FWebSphere&product=ibm/WebSphere/WebSphere+Application+Server&release=All&platform=All&function=fixId&fixids=9.0.0.4-WS-WAS-IFPI95973&includeSupersedes=0

修复过程简述：

确认符合版本的补丁，并选择Continue进行下载，如图所示（7.0.0.45为例）：

查看对应操作手册进行修复，建议在测试环境使用修复步骤如下，确认补丁可用且不影响业务的正常运行的情况下，在正式环境下进行修复：

1. 如果对应版本的补丁扩展名是.pak，则保存.pak文件至一个自定的修复目录下（步骤6将使用该目录）即可，如果是.zip则需解压至该修复目录下。

2. 关闭WebSphere应用服务器（Windows系统中执行setupCmdLine.sh，*nix系统中执行setupCmdLine.sh以停止并卸载正在运行的WebSphere实例）。

3. IBM i系统用户，参考链接http://www14.software.ibm.com/webapp/wsbroker/redirect?version=compass&product=was-nd-iseries&topic=rins_update 其他系统运行Update Installer并执行下一步。

4. 输入WebSphere路径，用于确认补丁安装位置。

5. 选择”Install maintenance package”操作以安装修复包。

6. 选择.pak或.zip的解压目录，位于步骤1中修复目录中。

7. 保留安装程序的建议并选择Next进行下一步。

8. 出了Windows之外所有平台，在安装前信息面板中，使用“验证权限”来验证用户是否有权限将更新应用到与所选维护相关文件中。请确认当前权限及文件权限无误后，单击Next开始安装。

9. 重启WebSphere Application Server。

参考文献

[1]: 漏洞危害说明，https://exchange.xforce.ibmcloud.com/vulnerabilities/143024

[2]: 漏洞评分细则，https://exchange.xforce.ibmcloud.com/vulnerabilities/143024

[3]: IBM修复文档，https://www-01.ibm.com/support/docview.wss?uid=ibm10730503