写点什么

甲骨文 WebLogic 服务器曝关键漏洞,无需身份验证即可被远程利用

  • 2019-05-14
  • 本文字数:766 字

    阅读完需:约 3 分钟

甲骨文WebLogic服务器曝关键漏洞,无需身份验证即可被远程利用

安全人员在甲骨文 WebLogic 服务器(WLS)中发现了一个新的可远程利用的漏洞。该漏洞编号CVE-2019-2725,其无需用户身份验证即可被远程利用,且CVSS评分达 9.3 分(满分 10 分),是一个关键漏洞。


甲骨文发布了一个安全警报,指出受此漏洞影响的服务器版本包括 10.3.6.0 和 12.1.3.0。这个漏洞很容易被利用,黑色产业已经有很多攻击者用它来植入勒索程序挖矿程序及其它恶意程序。甲骨文“强烈建议客户尽快应用更新”。


此漏洞的主要缺陷在于对反序列化的 XML 数据的验证不充分。通过特制的 SOAP 请求,攻击者可以在服务器上获得完整的代码执行权限。


具体而言,该漏洞存在于/_async/AsyncResponseService 端点上的 WLS 的异步组件中。此端点是用于处理异步请求——响应功能的内部端点。


当 AsyncResponseService 端点收到请求时,它会遍历 handler 列表,从而允许每个 handler 都有机会处理请求。一个名为 WorkAreaServerHandler 的特殊 handler 会用到 WorkContextXmlInputAdapter,后者又用到 XMLDecoder,这里就是漏洞的源头了。


XMLDecoder 本质上与用来接收 Serializable 对象的 ObjectInputStream 非常相似,区别在于 XMLDecoder 使用 XML 格式而非二进制格式来描述序列化对象。如果没有合适干净的输入内容,任何 Java 对象都可以被反序列化。


不幸的是,这个漏洞并不是 WebLogic 或 Java 的第一个漏洞。2017 年,WebLogic 报告了一个类似的漏洞(CVE-2017-10271)。反序列化漏洞在 Java 中很常见,正如 InfoQ 文章《Java序列化的状态》中所提到的一样。为了阻止这类漏洞,Java 9 引入了JEP-290


甲骨文建议立即使用修补程序解决此问题。其它非官方的建议有:阻止访问所有的/_async/*地址,或删除 WAR 文件以及同异步功能相关的所有文件。


查看英文原文Critical Remotely Exploitable Vulnerability Discovered in Oracle WebLogic Server


2019-05-14 10:546094

评论

发布
暂无评论
发现更多内容

已拿字节、腾讯、墨墨 offer,【面试总结

android 程序员 移动开发

想搞懂Jetpack架构可以不搞懂生命周期知识吗?,阿里P8架构师

android 程序员 移动开发

巧用Android网络通信技术,在网络上直接传输对象,android设计模式总结

android 程序员 移动开发

微信自研 APM 利器,Matrix 正式开源了,2021Android大厂面试知识分享

android 程序员 移动开发

想做直播的你,这些热门的音视频如何绝对同步的。你get了嘛

android 程序员 移动开发

想掌握Android面试官必问的 Binder 机制?那别想绕开 Binder 驱动源码分析!

android 程序员 移动开发

已经说过千万遍了!!面试官,一线互联网大厂中高级Android面试真题收录

android 程序员 移动开发

应聘腾讯,面试官和我聊了一个小时的人生,flutterrow换行

android 程序员 移动开发

想进阶高级架构师,你需要养成这10个习惯!,flutter小程序的onshow

android 程序员 移动开发

年后想跳槽涨薪?你想要的面试题全在这里,activity事件分发

android 程序员 移动开发

当你面试的时候,被问到关于Fragment的种种,Android开发教程

android 程序员 移动开发

当面试官问到Binder这些问题,你会怎么答?,android面试及答案

android 程序员 移动开发

征服面试官系列: Binder 核心机制和进程间通信,你都理解了吗

android 程序员 移动开发

微信小程序开发-Flex布局,flutter二维码识别

android 程序员 移动开发

年终总结攻略|3个步骤,让老板给你的工作汇报点赞,2021Android精选面试实战总结整理

android 程序员 移动开发

底层学习---Android-IPC机制(二)序列化机制,张口就来

android 程序员 移动开发

建造者模式,2021最新网易Android面经

android 程序员 移动开发

张一鸣:“如果是你偶然发现青霉素能消炎,android组件化开发视频

android 程序员 移动开发

当你面试的时候,被问到关于Fragment的种种(1),华为移动应用开发平台

android 移动开发

征服Android面试官路漫漫(三),Android岗面试

android 程序员 移动开发

总包不足80w的高龄Android程序员,被面试官diss混得太差,网友狂吐槽

android 程序员 移动开发

彻底理解OkHttp - OkHttp 源码解析及OkHttp的设计思想(1)

android 程序员 移动开发

您有一份AndroidX升级指南未领取(1),2021年不想被公司优化

android 程序员 移动开发

您有一份AndroidX升级指南未领取,androidsdk环境配置

android 程序员 移动开发

悬浮窗的一种实现 _ Android悬浮窗Window应用,移动互联网开发技术专业

android 程序员 移动开发

情场失意,事业得意—,腾讯T2大牛亲自教你

android 程序员 移动开发

想进BAT一线互联网大厂,该怎么准备技术面试?一位6年老Android的面经总结

android 程序员 移动开发

带你一起探究Android事件分发机制,-让面试提问不在畏惧!

android 程序员 移动开发

干货来袭-通过这份Android-中高级架构师教学资料(全套)在公司大裁员下

android 程序员 移动开发

底层图像处理之微信32Kb图片压缩方案-(二),android双击事件响应

android 程序员 移动开发

微信小程序之商品属性分类-——-微信小程序实战商城系列

android 程序员 移动开发

甲骨文WebLogic服务器曝关键漏洞,无需身份验证即可被远程利用_安全_Dustin Schultz_InfoQ精选文章