WebLogic 反序列化0day漏洞(CVE-2019-2725补丁绕过)预警

栏目: 编程工具 · 发布时间: 5年前

内容简介:2019年06月15日,360CERT监测到在野的Oracle Weblogic远程反序列化命令执行漏洞,该漏洞绕过了最新的Weblogic补丁(CVE-2019-2725),攻击者可以发送精心构造的恶意HTTP请求,在未授权的情况下远程执行命令。目前官方补丁未发布,漏洞细节未公开。360CERT经研判后判定该漏洞综合评级为“高危”,强烈建议受影响的用户尽快根据临时修补建议进行临时处置,防止收到攻击者攻击。该漏洞是针对2019年4月Weblogic补丁的绕过,主要是由于支持Weblogic的JDK版本存在缺

WebLogic 反序列化0day漏洞(CVE-2019-2725补丁绕过)预警

0x00 事件背景

2019年06月15日,360CERT监测到在野的Oracle Weblogic远程反序列化命令执行漏洞,该漏洞绕过了最新的Weblogic补丁(CVE-2019-2725),攻击者可以发送精心构造的恶意HTTP请求,在未授权的情况下远程执行命令。目前官方补丁未发布,漏洞细节未公开。360CERT经研判后判定该漏洞综合评级为“高危”,强烈建议受影响的用户尽快根据临时修补建议进行临时处置,防止收到攻击者攻击。

0x01 漏洞细节

该漏洞是针对2019年4月Weblogic补丁的绕过,主要是由于支持Weblogic的JDK版本存在缺陷而导致攻击者可以绕过补丁在远程执行任意命令。

WebLogic 反序列化0day漏洞(CVE-2019-2725补丁绕过)预警

0x02 影响范围

影响产品:

  • Oracle WebLogic Server10.3.6.0.0
  • Oracle WebLogic Server12.1.3.0.0

影响组件:

  • wls9_async_response.war
  • wls-wsat.war

0x03 修复建议

  1. 删除wls9_async_response.war和wls-wsat.war文件及相关文件夹并重启Weblogic服务。具体路径为:

    10.3.*版本:

    \Middleware\wlserver_10.3\server\lib\
     %DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\
     %DOMAIN_HOME%\servers\AdminServer\tmp\.internal\

    12.1.3版本:

    \Middleware\Oracle_Home\oracle_common\modules\
     %DOMAIN_HOME%\servers\AdminServer\tmp\.internal\
     %DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\
  2. 通过访问策略控制禁止 /_async/* 路径的URL访问
  3. 及时升级支持Weblogic的 Java 版本。

0x04 时间线

2019-06-15 360CERT发现事件并确认

2019-06-16 360CERT对预警进行更新


以上所述就是小编给大家介绍的《WebLogic 反序列化0day漏洞(CVE-2019-2725补丁绕过)预警》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

啊哈!算法

啊哈!算法

啊哈磊 / 人民邮电出版社 / 2014-6-1 / 45.00元

这不过是一本有趣的算法书而已。和别的算法书比较,如果硬要说它有什么特点的话,那就是你能看懂它。 这是一本充满智慧和趣味的算法入门书。没有枯燥的描述,没有难懂的公式,一切以实际应用为出发点, 通过幽默的语言配以可爱的插图来讲解算法。你更像是在阅读一个个轻松的小故事或是在玩一把趣味解谜 游戏,在轻松愉悦中便掌握算法精髓,感受算法之美。 本书中涉及到的数据结构有栈、队列、链表、树......一起来看看 《啊哈!算法》 这本书的介绍吧!

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具