QCon北京「鸿蒙专场」火热来袭!即刻报名,与创新同行~ 了解详情
写点什么

甲骨文 WebLogic 服务器曝关键漏洞,无需身份验证即可被远程利用

  • 2019-05-14
  • 本文字数:766 字

    阅读完需:约 3 分钟

甲骨文WebLogic服务器曝关键漏洞,无需身份验证即可被远程利用

安全人员在甲骨文 WebLogic 服务器(WLS)中发现了一个新的可远程利用的漏洞。该漏洞编号CVE-2019-2725,其无需用户身份验证即可被远程利用,且CVSS评分达 9.3 分(满分 10 分),是一个关键漏洞。


甲骨文发布了一个安全警报,指出受此漏洞影响的服务器版本包括 10.3.6.0 和 12.1.3.0。这个漏洞很容易被利用,黑色产业已经有很多攻击者用它来植入勒索程序挖矿程序及其它恶意程序。甲骨文“强烈建议客户尽快应用更新”。


此漏洞的主要缺陷在于对反序列化的 XML 数据的验证不充分。通过特制的 SOAP 请求,攻击者可以在服务器上获得完整的代码执行权限。


具体而言,该漏洞存在于/_async/AsyncResponseService 端点上的 WLS 的异步组件中。此端点是用于处理异步请求——响应功能的内部端点。


当 AsyncResponseService 端点收到请求时,它会遍历 handler 列表,从而允许每个 handler 都有机会处理请求。一个名为 WorkAreaServerHandler 的特殊 handler 会用到 WorkContextXmlInputAdapter,后者又用到 XMLDecoder,这里就是漏洞的源头了。


XMLDecoder 本质上与用来接收 Serializable 对象的 ObjectInputStream 非常相似,区别在于 XMLDecoder 使用 XML 格式而非二进制格式来描述序列化对象。如果没有合适干净的输入内容,任何 Java 对象都可以被反序列化。


不幸的是,这个漏洞并不是 WebLogic 或 Java 的第一个漏洞。2017 年,WebLogic 报告了一个类似的漏洞(CVE-2017-10271)。反序列化漏洞在 Java 中很常见,正如 InfoQ 文章《Java序列化的状态》中所提到的一样。为了阻止这类漏洞,Java 9 引入了JEP-290


甲骨文建议立即使用修补程序解决此问题。其它非官方的建议有:阻止访问所有的/_async/*地址,或删除 WAR 文件以及同异步功能相关的所有文件。


查看英文原文Critical Remotely Exploitable Vulnerability Discovered in Oracle WebLogic Server


2019-05-14 10:546213

评论

发布
暂无评论
发现更多内容

实战大数据,HBase 性能调优指南

编程江湖

HBase

科技令生活“焕然一新”|年末清洁黑科技:美菱洗地机!

联营汇聚

美菱洗地机

【转】前端开发之React Native SDK 升级问题

@零度

前端 React Native

【转】java开发之批处理框架 Spring Batch

@零度

JAVA开发 spring batch

智汇华云 | ArSDN给VMware带来了什么

华云数据

Linux之find常用命令汇总

入门小站

RandomAccessFile 解决多线程下载及断点续传

李尚智

微服务架构 断点续传 大文件断点续传 RandomAccessFile 微服务附件

直播预告|智能运维管理平台OMP核心特性及落地场景介绍

云智慧AIOps社区

DevOps 运维 AIOPS 智能运维 运维管理

盘点 2021|从零开始,向前出发

Middleware

生涯规划 个人成长 盘点2021 2021年终总结

【Netty技术专题】「原理分析系列」Netty强大特性之ByteBuf零拷贝技术原理分析

码界西柚

Netty 零拷贝 zero copy 12月日更

近百万条数据、3秒查询,TDengine助力北微云平台的搭建

TDengine

数据库 tdengine 物联网

参加过 4 届 TiDB Hackathon 是一种什么体验? | TiDB Hackathon 选手访谈

PingCAP

智汇华云 | 使用Kubeadm进行Kubernetes集群版本升级

华云数据

用户文章转载:P4 Rmdir 会自动删除空目录?不,没那么简单

龙智—DevSecOps解决方案

perforce P4 P4 Rmdir

大型软件交付项目注意事项53条

IT民工大叔

项目管理 SaaS

中国联通、欧莱雅和钉钉都在争相打造的秘密武器?虚拟IP未来还有怎样的可能

行者AI

人工智能 虚拟

SphereEx 亮相 openGauss Summit 2021,同云和恩墨签订战略合作协议

SphereEx

开源 ShardingSphere SphereEx 云和恩墨 战略合作

在线JSON转MySQL建表语句工具

入门小站

工具

如何在 Go 中将 []byte 转换为 io.Reader?

AlwaysBeta

golang Go 语言

低代码行业浅析

凹凸实验室

前端 低代码

探索 Design Token

凹凸实验室

前端 设计

拍乐云解析融合语音通话技术实践

拍乐云Pano

音视频 RTC 拍乐云 技术干货 融合语音通话

计划被打乱怎么办?

Tiger

28天写作

智汇华云 | 桌面云卓越体验下的协议技术解析

华云数据

如何使用Kubernetes里的NetworkPolicy

汪子熙

Kubernetes k8s 28天写作 docker build 12月日更

SLICK: Facebook基于SLO的可靠性保障实践

俞凡

facebook 架构 大厂实践

带你详细了解 Node.js 中的事件循环

编程江湖

前端开发 node,js

带你了解家居智能的心脏:物联网关

华为云开发者联盟

物联网 智能家居 物联网关 智能网关 家庭网络

AI实战分享 | 基于CANN的辅助驾驶应用案例

华为云开发者联盟

目标检测算法 CANN 昇腾 辅助驾驶 AscendCL

行业分析| 实时音视频的未来

anyRTC开发者

音视频 WebRTC 实时通信 语音通话 视频通话

观点 | NoSQL 产品的 SaaS 化之路

RadonDB

数据库 nosql NoSQL 数据库

甲骨文WebLogic服务器曝关键漏洞,无需身份验证即可被远程利用_安全_Dustin Schultz_InfoQ精选文章