【漏洞预警】Weblogic反序列化远程代码执行漏洞预警通告

预警编号:NS-2019-0015

2019-04-18

1

漏洞概述

4月17日，国家信息安全漏洞共享平台（CNVD）公开了Weblogic反序列化远程代码执行漏洞，此漏洞存在于weblogic自带的wls9_async_response.war组件中，由于该war包在反序列化处理输入信息时存在缺陷，未经授权的攻击者可以发送精心构造的恶意 HTTP 请求，获取服务器权限，实现远程代码执行。

wls9_async_response.war用于为WebService组件提供异步通讯功能，大部分Weblogic Server版本默认包含此文件。

参考链接：

http://www.cnvd.org.cn/webinfo/show/4989

SEE MORE →

2影响范围

受影响版本

• Oracle WebLogic Server 10.*
• Oracle WebLogic Server 12.1.3

此漏洞影响启用bea_wls9_async_response组件的所有Weblogic版本。

3漏洞排查

此漏洞存在于异步通讯服务，用户可通过访问路径/_async/AsyncResponseService，判断该不安全组件是否开启。若返回如下页面，则此组件开启，请相关用户引起关注，及时采取防护措施。

4漏洞防护

官方暂未发布针对此漏洞的修复补丁，在官方修复之前，可以采取以下方式进行临时防护。

1、配置URL访问策略：通过访问控制策略禁止对/_async/*路径的访问。

2、删除wls9_async_response.war文件及相关文件夹，并重启Weblogic服务。具体路径如下：

版本号为10.3.*：

版本号为12.1.3：

注：wls9_async_response.war属于一级应用包，对其进行移除或更名操作可能造成未知的后果，Oracle官方不建议对其进行此类操作。若在直接删除此包的情况下应用出现问题，将无法得到Oracle产品部门的技术支持。请用户进行影响评估，并对此文件进行备份后，再执行此操作。

END

作者：绿盟科技安全服务部

声明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。