10 月 23 - 25 日,QCon 上海站即将召开,现在购票,享9折优惠 了解详情
写点什么

甲骨文 WebLogic 服务器曝关键漏洞,无需身份验证即可被远程利用

  • 2019-05-14
  • 本文字数:766 字

    阅读完需:约 3 分钟

甲骨文WebLogic服务器曝关键漏洞,无需身份验证即可被远程利用

安全人员在甲骨文 WebLogic 服务器(WLS)中发现了一个新的可远程利用的漏洞。该漏洞编号CVE-2019-2725,其无需用户身份验证即可被远程利用,且CVSS评分达 9.3 分(满分 10 分),是一个关键漏洞。


甲骨文发布了一个安全警报,指出受此漏洞影响的服务器版本包括 10.3.6.0 和 12.1.3.0。这个漏洞很容易被利用,黑色产业已经有很多攻击者用它来植入勒索程序挖矿程序及其它恶意程序。甲骨文“强烈建议客户尽快应用更新”。


此漏洞的主要缺陷在于对反序列化的 XML 数据的验证不充分。通过特制的 SOAP 请求,攻击者可以在服务器上获得完整的代码执行权限。


具体而言,该漏洞存在于/_async/AsyncResponseService 端点上的 WLS 的异步组件中。此端点是用于处理异步请求——响应功能的内部端点。


当 AsyncResponseService 端点收到请求时,它会遍历 handler 列表,从而允许每个 handler 都有机会处理请求。一个名为 WorkAreaServerHandler 的特殊 handler 会用到 WorkContextXmlInputAdapter,后者又用到 XMLDecoder,这里就是漏洞的源头了。


XMLDecoder 本质上与用来接收 Serializable 对象的 ObjectInputStream 非常相似,区别在于 XMLDecoder 使用 XML 格式而非二进制格式来描述序列化对象。如果没有合适干净的输入内容,任何 Java 对象都可以被反序列化。


不幸的是,这个漏洞并不是 WebLogic 或 Java 的第一个漏洞。2017 年,WebLogic 报告了一个类似的漏洞(CVE-2017-10271)。反序列化漏洞在 Java 中很常见,正如 InfoQ 文章《Java序列化的状态》中所提到的一样。为了阻止这类漏洞,Java 9 引入了JEP-290


甲骨文建议立即使用修补程序解决此问题。其它非官方的建议有:阻止访问所有的/_async/*地址,或删除 WAR 文件以及同异步功能相关的所有文件。


查看英文原文Critical Remotely Exploitable Vulnerability Discovered in Oracle WebLogic Server


2019-05-14 10:546277

评论

发布
暂无评论
发现更多内容

YashanDB|报错 YAS-00402:failed to connect socket?可能是监听地址设置问题

数据库砖家

数据库

YashanDB|YAS-02605:不是 Master 节点无法执行恢复?共享集群下的角色限制

数据库砖家

数据库

【YashanDB 知识库】ycm 托管数据库时,数据库非 OM 安装无法托管

数据库砖家

数据库

YashanDB|YAS-02507:执行增量备份失败?缺少基础备份

数据库砖家

数据库

【YashanDB 知识库】ycm 托管数据库时报错 OM host ip:127.0.0.1 is not support join to YCM

数据库砖家

数据库

YashanDB V23.2 LTS发版 | 共享集群首个长期支持版本

数据库砖家

数据库

YashanDB 开机自启

数据库砖家

数据库

直播预告丨金融行业如何拥抱AI,实现数智化转型?华为大咖带你快速搞懂!

YG科技

五十年了,终于等来了鸿蒙电脑

白洞计划

鸿蒙

YashanDB|YAS-02547:归档恢复报错“日志存在间断”?归档序号不连续所致

数据库砖家

数据库

【YashanDB知识库】IMP跨网络导入慢问题

数据库砖家

数据库

YashanDB 知识库:ycm 纳管主机安装 YCM-AGENT 时报错 “任务提交失败,无法连接主机”

数据库砖家

数据库

YashanDB:YAS-02024 锁等待超时处理

数据库砖家

数据库

YashanDB:YAS-00413 登录失败原因分析与解决方案

数据库砖家

数据库

淘宝商品详情API接口解析与 Python 实战指南

tbapi

淘宝API接口 淘宝商品详情接口 淘宝数据采集 淘宝商品详情数据采集

英特尔发布专业级GPU,专为AI推理和专业工作站设计

E科讯

YashanDB|YAS-02287:审计策略无法删除?因为还在启用中

数据库砖家

数据库

ListenHub :短播客内容生成和消费 Agent;Ollama 新引擎支持多模态推理模型,将支持语音生成丨日报

声网

迁移方案详解 | 使用 YMP 从异构数据库迁移到 YashanDB

数据库砖家

数据库

yashandb:自关联外键插入数据时报错

数据库砖家

数据库

YashanDB:PL 语言使用全指南

数据库砖家

数据库

YashanDB 登录提示账户被锁?快速解锁 sys 用户的方法

数据库砖家

数据库

风险防不胜防?看 YashanDB 如何守护你的数据库安全(下篇)

数据库砖家

数据库

YashanDB 配置参数调整后无法关闭数据库

数据库砖家

数据库

学啥才能接单?分享一下我目前使用的技术栈

程序员郭顺发

HarmonyOSNext 权限管理

Lucky_gril

鸿蒙 开发工具 HarmonyOS HarmonyOS NEXT 实践分享

如何兼顾性能与可靠性?一文解析 YashanDB 主备高可用技术

数据库砖家

数据库

风险防不胜防?看 YashanDB 如何守护你的数据库安全(上篇)

数据库砖家

数据库

整合安全能力:观测云进一步强化数据价值

观测云

安全

昇腾AI云服务,中国AI的翼翼长城

脑极体

云计算

WPS深度适配鸿蒙电脑折叠形态,打造全新多端智能办公体验

最新动态

甲骨文WebLogic服务器曝关键漏洞,无需身份验证即可被远程利用_安全_Dustin Schultz_InfoQ精选文章