内容简介:Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle WebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。WebLogic中默认包含的wls-wast 与wls9_async_response war包,由于以上WAR包采用XMLDecoder反序列化机制来处理发送过来的XML数据,远程恶意攻击者可以通过发送精心构造的HTTP请求,在未授权
一、前言
Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle WebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。
WebLogic中默认包含的wls-wast 与wls9_async_response war包,由于以上WAR包采用XMLDecoder反序列化机制来处理发送过来的XML数据,远程恶意攻击者可以通过发送精心构造的HTTP请求,在未授权的情况下远程执行命令,获得目标服务器的权限。也就是说,攻击者能够直接获取服务器系统权限,进行数据窃取,进而甚至会威胁受害者的内网安全。
Weblogic因为XMLDecoder反序列化不安全数据导致的漏洞目前有三个,第一个是CVE-2017-3506 ,第二个是CVE-2017-10271。这两个历史漏洞的数据输入点在 /wls-wsat/* 目录下。第三个是 CVE-2019-2725,这个漏洞的数据输入点增加了一个/_async/*.
网藤CRS/ARS产品已全面支持该漏洞的检测与验证,网藤用户可直接登陆 www.riskivy.com 进行验证。
二、影响版本
Oracle WebLogic Server 10.x Oracle WebLogic Server 12.1.3
三、漏洞危害
1.可通过访问路径/_async/AsyncResponseServiceSoap12判断wls9_async_response组件是否存在。若返回如下页面,请引起关注,及时采取防护措施。
2.可通过访问路径/wls-wsat/CoordinatorPortType,判断wls-wsat组件是否存在。若返回如下页面,则此组件存在。请引起关注,及时采取防护措施。
四、修复方案
4.1 配置访问控制策略
可通过配置访问控制策略禁止非法用户访问以下路径
/wls-wsat/* /_async/*
4.2 删除不安全文件
删除 wls9_async_response.war 与 wls-wsat.war 文件及相关文件夹,并重启 Weblogic 服务。具体文件路径如下:
Oracle WebLogic Server 10.3.x : \Middleware\wlserver_10.3\server\lib\ %DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\ %DOMAIN_HOME%\servers\AdminServer\tmp\.internal\ Oracle WebLogic Server 12.1.3 : \Middleware\Oracle_Home\oracle_common\modules\ %DOMAIN_HOME%\servers\AdminServer\tmp\.internal\ %DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\
4.3 升级JDK 版本
本次漏洞绕过只生效于JDK6,可升级JDK版本至JDK7及以上。
以上是本次高危漏洞预警的相关信息,如有任何疑问或需要更多支持,可通过以下方式与我们取得联系。
联系电话:400-156-9866
Email:help@tophant.com
*本文作者:TCC-星光,转载请注明来自FreeBuf.COM
以上所述就是小编给大家介绍的《漏洞预警 | Oracle WebLogic XMLDecoder反序列化漏洞(CVE-2019-2725绕过)》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- Weblogic IIOP反序列化漏洞(CVE-2020-2551) 漏洞分析
- php反序列化漏洞
- RirchFaces反序列化漏洞
- Nodejs反序列化漏洞利用
- Fastjson反序列化漏洞利用
- 2017年反序列化漏洞年度报告
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Ant Colony Optimization
Marco Dorigo、Thomas Stützle / A Bradford Book / 2004-6-4 / USD 45.00
The complex social behaviors of ants have been much studied by science, and computer scientists are now finding that these behavior patterns can provide models for solving difficult combinatorial opti......一起来看看 《Ant Colony Optimization》 这本书的介绍吧!