近日�,國家信息安全漏洞庫(CNNVD)收到Oracle WebLogic wls9-async反序列化遠(yuǎn)程命令執(zhí)行漏洞(CNNVD-201904-961)情況的報送�。攻擊者可利用該漏洞在未授權(quán)的情況下發(fā)送攻擊數(shù)據(jù),實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行��。WebLogic 10.X��、WebLogic 12.1.3等版本均受漏洞影響。目前��, Oracle官方未發(fā)布漏洞補(bǔ)丁�,但可以通過臨時解決措施緩解漏洞造成的危害,建議用戶及時確認(rèn)是否受到漏洞影響���,盡快采取修補(bǔ)措施���。
一、漏洞介紹
Oracle WebLogic Server是美國甲骨文(Oracle)公司開發(fā)的一款適用于云環(huán)境和傳統(tǒng)環(huán)境的應(yīng)用服務(wù)中間件�,它提供了一個現(xiàn)代輕型開發(fā)平臺,支持應(yīng)用從開發(fā)到生產(chǎn)的整個生命周期管理���,并簡化了應(yīng)用的部署和管理���。
部分版本W(wǎng)ebLogic中默認(rèn)包含的wls9_async_response包,為WebLogic Server提供異步通訊服務(wù)�����。由于該WAR包在反序列化處理輸入信息時存在缺陷��,攻擊者可以發(fā)送精心構(gòu)造的惡意 HTTP 請求�,獲得目標(biāo)服務(wù)器的權(quán)限,在未授權(quán)的情況下遠(yuǎn)程執(zhí)行命令。
二��、危害影響
攻擊者可利用漏洞在未授權(quán)的情況下發(fā)送攻擊數(shù)據(jù),最終實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行�。該漏洞涉及了多個版本,具體受影響版本如下:
WebLogic 10.X WebLogic 12.1.3 |
三��、修復(fù)建議
目前�����, Oracle官方未發(fā)布漏洞補(bǔ)丁�����,但可以通過臨時解決措施緩解漏洞造成的危害��,建議用戶及時確認(rèn)是否受到漏洞影響��,盡快采取修補(bǔ)措施���。
通過訪問策略控制禁止 /_async/* 路徑的URL訪問,此操作可能會造成業(yè)務(wù)系統(tǒng)無法正常使用����,可通過白名單機(jī)制允許授權(quán)用戶訪問。
建議使用WebLogic Server構(gòu)建網(wǎng)站的信息系統(tǒng)運(yùn)營者進(jìn)行自查,發(fā)現(xiàn)存在漏洞后���,按照臨時解決方案及時進(jìn)行修復(fù)��。
本通報由CNNVD技術(shù)支撐單位——啟明星辰信息技術(shù)有限公司(積極防御實(shí)驗室)���、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、深信服科技股份有限公司�����、北京圣博潤高新技術(shù)股份有限公司��、網(wǎng)神信息技術(shù)(北京)股份有限公司�����、河南聽潮盛世信息技術(shù)有限公司提供支持���。
CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況���,及時發(fā)布相關(guān)信息。如有需要��,可與CNNVD聯(lián)系。 聯(lián)系方式: cnnvd@itsec.gov.cn
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
