专栏首页绿盟科技安全情报【漏洞预警】Weblogic反序列化远程代码执行漏洞预警通告

【漏洞预警】Weblogic反序列化远程代码执行漏洞预警通告

预警编号:NS-2019-0015

2019-04-18

TAG:

Oracle、Weblogic、远程代码执行

危害等级:

高,攻击者利用此漏洞可执行任意代码。

版本:

1.0

1

漏洞概述

4月17日,国家信息安全漏洞共享平台(CNVD)公开了Weblogic反序列化远程代码执行漏洞,此漏洞存在于weblogic自带的wls9_async_response.war组件中,由于该war包在反序列化处理输入信息时存在缺陷,未经授权的攻击者可以发送精心构造的恶意 HTTP 请求,获取服务器权限,实现远程代码执行。

wls9_async_response.war用于为WebService组件提供异步通讯功能,大部分Weblogic Server版本默认包含此文件。

参考链接:

http://www.cnvd.org.cn/webinfo/show/4989

SEE MORE →

2影响范围

受影响版本

  • Oracle WebLogic Server 10.*
  • Oracle WebLogic Server 12.1.3

此漏洞影响启用bea_wls9_async_response组件的所有Weblogic版本。

3漏洞排查

此漏洞存在于异步通讯服务,用户可通过访问路径/_async/AsyncResponseService,判断该不安全组件是否开启。若返回如下页面,则此组件开启,请相关用户引起关注,及时采取防护措施。

4漏洞防护

官方暂未发布针对此漏洞的修复补丁,在官方修复之前,可以采取以下方式进行临时防护。

1、配置URL访问策略:通过访问控制策略禁止对/_async/*路径的访问。

2、删除wls9_async_response.war文件及相关文件夹,并重启Weblogic服务。具体路径如下:

版本号为10.3.*:

\Middleware\wlserver_10.3\server\lib\bea_wls9_async_response.war%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\bea_wls9_async_response\%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\bea_wls9_async_response.war

版本号为12.1.3:

\Middleware\Oracle_Home\oracle_common\modules\com.oracle.webservices.wls.bea-wls9-async-response_12.1.3.war%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\com.oracle.webservices.wls.bea-wls9-async-response_12.1.3.war%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\com.oracle.webservices.wls.bea-wls9-async-response_12.1.3

注:wls9_async_response.war属于一级应用包,对其进行移除或更名操作可能造成未知的后果,Oracle官方不建议对其进行此类操作。若在直接删除此包的情况下应用出现问题,将无法得到Oracle产品部门的技术支持。请用户进行影响评估,并对此文件进行备份后,再执行此操作。

END

作者:绿盟科技安全服务部

声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

本文分享自微信公众号 - 绿盟科技安全预警(nsfocus_secwarning)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-04-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • JavaScript是如何工作的:引擎,运行时和调用堆栈的概述!

    本文是旨在深入研究JavaScript及其实际工作原理的系列文章中的第一篇:我们认为通过了解JavaScript的构建块以及它们是如何工作的,将能够编写更好的代...

    Javanx
  • Array.slice 8种不同用法

    随着React和其他面向功能的JavaScript实践的兴起,它变得越来越重要,原因有两个:

    Javanx
  • 4399AT UI自动化CI与CD

    看完了这三者的区别,目前4399AT是达到了CI和CD(持续交付)阶段,接下来我们说下4399AT的CI与CD; 以下均以安卓项目APP为基础来进行讲解: 软件...

    八音弦
  • 36 个JS 面试题为你助力金九银十(面试必读)

    在现代js中,let&const是创建变量的不同方式。 在早期的js中,咱们使用var关键字来创建变量。 let&const关键字是在ES6版本中引入的,其目的...

    Javanx
  • 21个让React 开发更高效更有趣的工具

    有没有想过你的应用程序的哪些包或哪部分代码所占总大小的多少? Webpack Bundle Analyzer可以帮助咱们分析。

    Javanx
  • 更轻量级的 V8 引擎[每日前端夜话0xC8]

    作者:Mythri Alle, Dan Elphick, and Ross McIlroy

    疯狂的技术宅
  • 在SAP除了使用Cordova生产移动应用外,还有这种方式

    本文和Jerry过去的文章不太一样,算不上Jerry的知识分享,只是记录一下Jerry用React-Native把应用安装到Android手机上遇到的一些问题,...

    Jerry Wang
  • 浅谈MVC--Node中如何使用ORM?

    在正常的开发中,大部分都会使用MVC为主要的系统架构模式。而Model一般包含了复杂的业务逻辑以及数据逻辑,因为Model中逻辑的复杂度,所以我们有必要降低系统...

    逆月翎
  • 小程序提示组织目录结构的处理方法

    此时如果执行构建npm,系统会把云函数文件夹下面的函数依赖也视为运行环境中需要使用的组件,会读取package.json的依赖,并且构建到miniprogram...

    TLingC
  • 11 种在大多数教程中找不到的JavaScript技巧

    当我开始学习JavaScript时,我把我在别人的代码、code challenge网站以及我使用的教程之外的任何地方发现的每一个节省时间的技巧都列了一个清单。

    Javanx

扫码关注云+社区

领取腾讯云代金券