网站首页 > 文章精选 正文
概述
近日,奇安信天眼与安服团队通过数据监控发现,野外出现Oracle WebLogic远程命令执行漏洞最新利用代码,此攻击利用绕过了厂商今年4月底所发布的最新安全补丁(CVE-2019-2725)。
由于该WAR包在反序列化处理输入信息时存在缺陷,攻击者可以发送精心构造的恶意 HTTP 请求,在未授权的情况下远程执行命令,获得目标服务器的权限。目前,该漏洞已出现野外的利用,但官方尚未给出相应的补丁,处于0day状态。奇安信威胁情报中心已经通知厂商此问题的存在,相信很快会有相应的新补丁,在此我们强烈建议用户采取建议的临时处置措施免受漏洞的影响。
漏洞技术细节
危害级别:【高危】
受影响版本:
WebLogic 10.3.6.0
WebLogic 12.1.3
技术细节:
通过CVE-2019-2725补丁分析发现,较上一个漏洞CVE-2017-10271补丁而言,官方新增了对class元素的过滤,并且array元素的length属性转换为整形后不得大于10000:
本次漏洞利用某个元素成功替换了补丁所限制的<class>元素,再次绕过了补丁黑名单策略,最终造成远程命令执行。
临时解决方案
由于目前厂商还未提供漏洞相应的官方补丁,建议采取如下临时措施规避漏洞导致的风险:
l 配置URL访问控制策略
部署于公网的WebLogic服务器,可通过ACL禁止对/_async/*及/wls-wsat/*路径的访问。
l 删除不安全文件
删除wls9_async_response.war与wls-wsat.war文件及相关文件夹,并重启Weblogic服务。具体文件路径如下:
10.3.*版本:
\Middleware\wlserver_10.3\server\lib\
%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\
%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\
12.1.3版本:
\Middleware\Oracle_Home\oracle_common\modules\
%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\
%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\
注:wls9_async_response.war及wls-wsat.war属于一级应用包,对其进行移除或更名操作可能造成未知的后果,Oracle官方不建议对其进行此类操作。若在直接删除此包的情况下应用出现问题,将无法得到Oracle产品部门的技术支持。请用户自行进行影响评估,并对此文件进行备份后,再执行此操作。
l 禁用bea_wls9_async_response组件
用户可通过在weblogic启动参数中禁用bea_wls9_async_response的方式,对此漏洞形成临时防护。
在禁用不安全组件前,需请开发人员确认应用系统是否使用了weblogic提供的异步WebService功能,排查方法请附录章节。如果确认没有使用,可以使用如下方式禁用此功能:
a)以windows系统为例,在启动文件(%DOMAIN_HOME%\bin\startWeblogic.cmd)中加如下参数:
set JAVA_OPTIONS=%JAVA_OPTIONS% -Dweblogic.wsee.skip.async.response=true
set JAVA_OPTIONS=%JAVA_OPTIONS% -Dweblogic.wsee.wstx.wsat.deployed=false
b) 对应用程序进行严格测试。
c)测试结果没有问题后,重启Weblogic服务,使参数生效。
赏
猜你喜欢
- 2025-07-24 微软七月Win8.1可选补丁有内涵,含大量修复
- 2025-07-24 甲骨文7月安全更新:修复113个Java等漏洞
- 2025-07-24 iOS8.4越狱安全需知:谨慎选择越狱工具
- 2025-07-24 29号微软修复的CPU又裂了 金山毒霸独家发布修复工具
- 2025-07-24 外服玩家整合挖掘 PTR2.3补丁未列出的改动
- 2025-07-24 不用担心Web系统被攻击了!这个自带安全补丁的软件帮你提高防御
- 2025-07-24 iOS9.2.1-3.3.3越狱flex2测试多数补丁可用,还有惊喜!
- 2025-07-24 微软修复 Win11 Wi-Fi 热点问题(win11wifi用不了)
- 2025-07-24 原创制作本周你可能错过的中文汉化游戏合集大推荐
- 2025-07-24 Windows HTTP.sys 远程代码执行漏洞 (CVE-2015-1635)(MS15-034)
- 最近发表
- 标签列表
-
- newcoder (56)
- 字符串的长度是指 (45)
- drawcontours()参数说明 (60)
- unsignedshortint (59)
- postman并发请求 (47)
- python列表删除 (50)
- 左程云什么水平 (56)
- 编程题 (64)
- postgresql默认端口 (66)
- 数据库的概念模型独立于 (48)
- 产生系统死锁的原因可能是由于 (51)
- 数据库中只存放视图的 (62)
- 在vi中退出不保存的命令是 (53)
- 哪个命令可以将普通用户转换成超级用户 (49)
- noscript标签的作用 (48)
- 联合利华网申 (49)
- swagger和postman (46)
- 结构化程序设计主要强调 (53)
- 172.1 (57)
- apipostwebsocket (47)
- 唯品会后台 (61)
- 简历助手 (56)
- offshow (61)
- mysql数据库面试题 (57)
- fmt.println (52)