写点什么

甲骨文 WebLogic 服务器曝关键漏洞,无需身份验证即可被远程利用

  • 2019-05-14
  • 本文字数:766 字

    阅读完需:约 3 分钟

甲骨文WebLogic服务器曝关键漏洞,无需身份验证即可被远程利用

安全人员在甲骨文 WebLogic 服务器(WLS)中发现了一个新的可远程利用的漏洞。该漏洞编号CVE-2019-2725,其无需用户身份验证即可被远程利用,且CVSS评分达 9.3 分(满分 10 分),是一个关键漏洞。


甲骨文发布了一个安全警报,指出受此漏洞影响的服务器版本包括 10.3.6.0 和 12.1.3.0。这个漏洞很容易被利用,黑色产业已经有很多攻击者用它来植入勒索程序挖矿程序及其它恶意程序。甲骨文“强烈建议客户尽快应用更新”。


此漏洞的主要缺陷在于对反序列化的 XML 数据的验证不充分。通过特制的 SOAP 请求,攻击者可以在服务器上获得完整的代码执行权限。


具体而言,该漏洞存在于/_async/AsyncResponseService 端点上的 WLS 的异步组件中。此端点是用于处理异步请求——响应功能的内部端点。


当 AsyncResponseService 端点收到请求时,它会遍历 handler 列表,从而允许每个 handler 都有机会处理请求。一个名为 WorkAreaServerHandler 的特殊 handler 会用到 WorkContextXmlInputAdapter,后者又用到 XMLDecoder,这里就是漏洞的源头了。


XMLDecoder 本质上与用来接收 Serializable 对象的 ObjectInputStream 非常相似,区别在于 XMLDecoder 使用 XML 格式而非二进制格式来描述序列化对象。如果没有合适干净的输入内容,任何 Java 对象都可以被反序列化。


不幸的是,这个漏洞并不是 WebLogic 或 Java 的第一个漏洞。2017 年,WebLogic 报告了一个类似的漏洞(CVE-2017-10271)。反序列化漏洞在 Java 中很常见,正如 InfoQ 文章《Java序列化的状态》中所提到的一样。为了阻止这类漏洞,Java 9 引入了JEP-290


甲骨文建议立即使用修补程序解决此问题。其它非官方的建议有:阻止访问所有的/_async/*地址,或删除 WAR 文件以及同异步功能相关的所有文件。


查看英文原文Critical Remotely Exploitable Vulnerability Discovered in Oracle WebLogic Server


2019-05-14 10:546222

评论

发布
暂无评论
发现更多内容

MIT、OpenAI震撼力作!AI自主发现人工生命,软件测试行业如何迎接未来挑战

测吧(北京)科技有限公司

测试

Paimon 1.0: Unified Lake Format for Data + AI

Apache Flink

大数据 flink paimon Apache Paimon

Hopper Disassembler for Mac( 反汇编器)5.15.4 免激活版

Rose

京东商品详情原始数据接口 (JD.item_get_app)丨京东API接口指南

tbapi

京东商品详情数据接口 京东API接口

文献解读

INSVAST

癌症 临床试验 生信分析 Sentieon 变异检测

MIAOYUN荣获“2024全国企业数字中国建设优秀应用案例”!

MIAOYUN

云计算 云原生 数字经济 智能运维

Keyshot2023安装教程(Keyshot2023注册机分享)

Rose

Axure RP 11 怎么设置中文?Axure RP 11 中文安装包附激活密钥

Rose

Microsoft OneNote 2019 for Mac安装包附破解工具

Rose

Microsoft Outlook 2024 LTSC for Macv16.92中文正式版 含破解工具

Rose

Perfectly Clear Workbench 永久激活版 Mac/win智能图像清晰修复软件

Rose

AnyGo for Mac(在iPhone / iPad上轻松模拟GPS位置)v7.8.0免激活版

Rose

《HarmonyOS第一课》焕新升级,赋能开发者快速掌握鸿蒙应用开发

HarmonyOS开发者

Python 虚拟环境:原理解析与最佳实践

不在线第一只蜗牛

Python

VideoPipe:强大的跨平台视频分析框架

代码忍者

ai2024下载简体中文版-ai2024正式版激活

Rose

漆包线行业MES系统的核心功能与应用

万界星空科技

mes 万界星空科技 漆包线mes 漆包线 铜杆加工行业

丹纳赫北部联合办公室正式启用,深耕本土布局再加码

财见

AlDente Pro for Mac:电池健康守护者,延长Mac续航新选择!

Rose

动态高清壁纸软件推荐Dynamic Wallpaper mac中文免激活版

Rose

Kubernetes 排障实战:用 Prometheus 提升集群可用性和排障效率

腾讯云可观测平台

一文带你了解MySQL的关联查询

小白的大数据之旅

MySQL 数据库 sql SQL关联查询

甲骨文WebLogic服务器曝关键漏洞,无需身份验证即可被远程利用_安全_Dustin Schultz_InfoQ精选文章