近日�����,國(guó)家信息安全漏洞庫(kù)(CNNVD)收到Oracle WebLogic Server反序列化漏洞(CNNVD-201910-1034��、CVE-2019-2890)(CNNVD-201910-1035�����、CVE-2019-2887)情況的報(bào)送�����。攻擊者可利用該漏洞在未授權(quán)的情況下發(fā)送攻擊數(shù)據(jù),最終實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行����。WebLogic Server 10.3.6.0、12.1.3.0��、12.2.1.3等版本均受漏洞影響���。目前�����, Oracle官方已經(jīng)發(fā)布補(bǔ)丁修復(fù)了漏洞����,建議用戶(hù)及時(shí)確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施����。
一、漏洞介紹
Oracle WebLogic Server是美國(guó)甲骨文(Oracle)公司開(kāi)發(fā)的一款適用于云環(huán)境和傳統(tǒng)環(huán)境的應(yīng)用服務(wù)中間件���,它提供了一個(gè)現(xiàn)代輕型開(kāi)發(fā)平臺(tái),支持應(yīng)用從開(kāi)發(fā)到生產(chǎn)的整個(gè)生命周期管理���,并簡(jiǎn)化了應(yīng)用的部署和管理�����。
Weblogic中的序列化是指把 Java 對(duì)象轉(zhuǎn)換為字節(jié)序列的過(guò)程便于保存在內(nèi)存����、文件���、數(shù)據(jù)庫(kù)中�,反序列化是指把字節(jié)序列恢復(fù)為 Java 對(duì)象的過(guò)程。
Weblogic在利用T3協(xié)議進(jìn)行遠(yuǎn)程資源加載調(diào)用時(shí)����,默認(rèn)會(huì)進(jìn)行黑名單過(guò)濾以保證反序列化安全。攻擊者可利用漏洞繞過(guò)Weblogic反序列化黑名單��,在未授權(quán)的情況下發(fā)送攻擊數(shù)據(jù)�,通過(guò)T3協(xié)議在WebLogic Server中執(zhí)行反序列化操作,最終實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行,進(jìn)而控制WebLogic服務(wù)器�。
二、危害影響
攻擊者可利用漏洞在未授權(quán)的情況下發(fā)送攻擊數(shù)據(jù)��,通過(guò)T3協(xié)議在WebLogic Server中執(zhí)行反序列化操作,最終實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行�。該漏洞涉及了多個(gè)版本,具體受影響版本如下:
Oracle WebLogic Server 10.3.6.0 Oracle WebLogic Server 12.1.3.0 Oracle WebLogic Server 12.2.1.3 |
三���、修復(fù)建議
目前�, Oracle官方已經(jīng)發(fā)布補(bǔ)丁修復(fù)了漏洞��,建議用戶(hù)及時(shí)確認(rèn)是否受到漏洞影響����,盡快采取修補(bǔ)措施。Oracle官方更新鏈接如下:
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html
本通報(bào)由CNNVD技術(shù)支撐單位——啟明星辰積極防御實(shí)驗(yàn)室���、北京長(zhǎng)亭科技有限公司提供支持��。
CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況��,及時(shí)發(fā)布相關(guān)信息�����。如有需要��,可與CNNVD聯(lián)系�����。
聯(lián)系方式: cnnvd@itsec.gov.cn
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
