写点什么

甲骨文 WebLogic 服务器曝关键漏洞,无需身份验证即可被远程利用

  • 2019-05-14
  • 本文字数:766 字

    阅读完需:约 3 分钟

甲骨文WebLogic服务器曝关键漏洞,无需身份验证即可被远程利用

安全人员在甲骨文 WebLogic 服务器(WLS)中发现了一个新的可远程利用的漏洞。该漏洞编号CVE-2019-2725,其无需用户身份验证即可被远程利用,且CVSS评分达 9.3 分(满分 10 分),是一个关键漏洞。


甲骨文发布了一个安全警报,指出受此漏洞影响的服务器版本包括 10.3.6.0 和 12.1.3.0。这个漏洞很容易被利用,黑色产业已经有很多攻击者用它来植入勒索程序挖矿程序及其它恶意程序。甲骨文“强烈建议客户尽快应用更新”。


此漏洞的主要缺陷在于对反序列化的 XML 数据的验证不充分。通过特制的 SOAP 请求,攻击者可以在服务器上获得完整的代码执行权限。


具体而言,该漏洞存在于/_async/AsyncResponseService 端点上的 WLS 的异步组件中。此端点是用于处理异步请求——响应功能的内部端点。


当 AsyncResponseService 端点收到请求时,它会遍历 handler 列表,从而允许每个 handler 都有机会处理请求。一个名为 WorkAreaServerHandler 的特殊 handler 会用到 WorkContextXmlInputAdapter,后者又用到 XMLDecoder,这里就是漏洞的源头了。


XMLDecoder 本质上与用来接收 Serializable 对象的 ObjectInputStream 非常相似,区别在于 XMLDecoder 使用 XML 格式而非二进制格式来描述序列化对象。如果没有合适干净的输入内容,任何 Java 对象都可以被反序列化。


不幸的是,这个漏洞并不是 WebLogic 或 Java 的第一个漏洞。2017 年,WebLogic 报告了一个类似的漏洞(CVE-2017-10271)。反序列化漏洞在 Java 中很常见,正如 InfoQ 文章《Java序列化的状态》中所提到的一样。为了阻止这类漏洞,Java 9 引入了JEP-290


甲骨文建议立即使用修补程序解决此问题。其它非官方的建议有:阻止访问所有的/_async/*地址,或删除 WAR 文件以及同异步功能相关的所有文件。


查看英文原文Critical Remotely Exploitable Vulnerability Discovered in Oracle WebLogic Server


2019-05-14 10:546109

评论

发布
暂无评论
发现更多内容

SQL 中判断条件的先后顺序,会引起索引失效么?,java虚拟机的原理

Java 程序员 后端

String Bean 注入方式,2021年Java程序员职业规划

Java 程序员 后端

ThreadLocal到底是什么?它解决了什么问题?,kalilinux渗透教程视频

Java 程序员 后端

Flink 的容错管理详细剖析

五分钟学大数据

flink 11月日更

Spring的XML解析原理,这一次全搞懂再走!,springmybatis整合原理

Java 程序员 后端

Spring系列:自动注入(autowire,redis笔记

Java 程序员 后端

Spring(六)(1),mongodb入门书籍

Java 程序员 后端

质效中台助力实现质量度模型规模化落地

百度Geek说

架构 中台 测试 QA

Spring(二),java基础面试题应届生

Java 程序员 后端

SSM整合,kafka教程分享

Java 程序员 后端

Threadtear:一款多功能Java代码反混淆工具套件,小米java社招面试

Java 程序员 后端

She Builds Summit | 感受她的科技力量!

亚马逊云科技 (Amazon Web Services)

开源 职场

Spring(二十),Java中级开发笔试题及答案

Java 程序员 后端

Struts 学习笔记1 -Struts Framework 概览,BAT面试&高级进阶

Java 程序员 后端

Tomcat实现热部署、热加载原理解析,线程池底层实现原理

Java 程序员 后端

Tomcat性能优化前后,有多大的差距,今天测试给大家看,linux视频教程推荐

Java 程序员 后端

Tomcat性能优化前后,有多大的差距,今天测试给大家看(1)

Java 程序员 后端

代码检查规则:Python语言案例详解

百度开发者中心

Python 方法论 学习笔记

Spring(六),终于找到一个看得懂的JVM内存模型了

Java 程序员 后端

ThreadLocal基本使用和内存泄漏分析,kafka性能调优

Java 程序员 后端

Thymeleaf基本使用,java基础入门第二版第二章答案

Java 程序员 后端

ThreadLocal内存泄漏分析与解决方案(1),linux文件系统原理

Java 程序员 后端

技术+案例详解无监督学习Autoencoder

华为云开发者联盟

神经网络 算法 图片 无监督学习 Autoencoder

SQL注入漏洞防护看这一篇就够了!,万字长文

Java 程序员 后端

SQL语句基本语法及函数方法,java编程入门视频教程下载

Java 程序员 后端

SymmetricDS 数据库双向同步开源软件入门,我要自学网java基础百度云

Java 程序员 后端

Vue 数组操作,java基础教程百度网盘

Java 程序员 后端

双11攻略来啦:参与Oracle VS openGauss 在线研讨,与盖国强老师、李国良教授面对面!

墨天轮

oracle opengauss 对话

ThreadLocal内存泄漏分析与解决方案,Java完全自学手册下载

Java 程序员 后端

Tomcat各种网络异常场景解决方案及优化,基础+底层+算法+数据库

Java 程序员 后端

Vue 数组操作(1),java设计模式书籍推荐有代码讲解

Java 程序员 后端

甲骨文WebLogic服务器曝关键漏洞,无需身份验证即可被远程利用_安全_Dustin Schultz_InfoQ精选文章