写点什么

甲骨文 WebLogic 服务器曝关键漏洞,无需身份验证即可被远程利用

  • 2019-05-14
  • 本文字数:766 字

    阅读完需:约 3 分钟

甲骨文WebLogic服务器曝关键漏洞,无需身份验证即可被远程利用

安全人员在甲骨文 WebLogic 服务器(WLS)中发现了一个新的可远程利用的漏洞。该漏洞编号CVE-2019-2725,其无需用户身份验证即可被远程利用,且CVSS评分达 9.3 分(满分 10 分),是一个关键漏洞。


甲骨文发布了一个安全警报,指出受此漏洞影响的服务器版本包括 10.3.6.0 和 12.1.3.0。这个漏洞很容易被利用,黑色产业已经有很多攻击者用它来植入勒索程序挖矿程序及其它恶意程序。甲骨文“强烈建议客户尽快应用更新”。


此漏洞的主要缺陷在于对反序列化的 XML 数据的验证不充分。通过特制的 SOAP 请求,攻击者可以在服务器上获得完整的代码执行权限。


具体而言,该漏洞存在于/_async/AsyncResponseService 端点上的 WLS 的异步组件中。此端点是用于处理异步请求——响应功能的内部端点。


当 AsyncResponseService 端点收到请求时,它会遍历 handler 列表,从而允许每个 handler 都有机会处理请求。一个名为 WorkAreaServerHandler 的特殊 handler 会用到 WorkContextXmlInputAdapter,后者又用到 XMLDecoder,这里就是漏洞的源头了。


XMLDecoder 本质上与用来接收 Serializable 对象的 ObjectInputStream 非常相似,区别在于 XMLDecoder 使用 XML 格式而非二进制格式来描述序列化对象。如果没有合适干净的输入内容,任何 Java 对象都可以被反序列化。


不幸的是,这个漏洞并不是 WebLogic 或 Java 的第一个漏洞。2017 年,WebLogic 报告了一个类似的漏洞(CVE-2017-10271)。反序列化漏洞在 Java 中很常见,正如 InfoQ 文章《Java序列化的状态》中所提到的一样。为了阻止这类漏洞,Java 9 引入了JEP-290


甲骨文建议立即使用修补程序解决此问题。其它非官方的建议有:阻止访问所有的/_async/*地址,或删除 WAR 文件以及同异步功能相关的所有文件。


查看英文原文Critical Remotely Exploitable Vulnerability Discovered in Oracle WebLogic Server


2019-05-14 10:546248

评论

发布
暂无评论
发现更多内容

苏宁易购API接口:商品列表数据获取指南

tbapi

苏宁API接口 苏宁易购商品列表数据接口

详解 什么是RPC

哦豁完蛋了

RPC

推荐一款好用的刷题工具

阿里巴巴云原生

阿里云 云原生 通义灵码

推荐一款好用的刷题工具

阿里云云效

阿里云 云原生 通义灵码

迈向更高级的财务规划,助推企业蓬勃发展

智达方通

数字化转型 企业管理 全面预算管理 财务管理 财务规划

荣誉再加码!2024可信云大会,天翼云载誉而归!

天翼云开发者社区

云计算 可信云大会

基于51单片机设计的花样流水灯设计

DS小龙哥

8月月更

从分散到整合,细说比特币发展史

TechubNews

ETL数据集成丨快速将MySQL数据迁移至Doris数据库

RestCloud

MySQL Doris 数据传输 ETL 数据集成平台

CSS使用渐变实现Chrome标签栏效果

源字节1号

开源

Getty 携手英伟达升级商业文生图 AI 模型;苹果新专利探索「心跳」解锁 iPhone 丨 RTE 开发者日报

声网

Next.js 中为什么 App Router 可能是未来,但 Pages Router 仍然重要?

Immerse

router 路由 路由框架 next.js app route

TikTok海外直播专线是什么?有什么用?

Ogcloud

TikTok tiktok运营 tiktok直播 tiktok直播专线 tiktok直播网络

再添认可!KaiwuDB 储能行业解决方案入选国家级案例集

KaiwuDB

KaiwuDB 分布式储能 分布式多模数据库 数字能源应用

史上最高!这家企业向勒索软件支付了超5.4亿元赎金

我再BUG界嘎嘎乱杀

黑客 网络安全 安全 网安

用二维码进行活动报名,收集汇总信息更高效

草料二维码

草料二维码 报名二维码 活动报名二维码

淘宝商品数据接口实战:自动化监控与竞品分析

tbapi

淘宝API接口 淘宝商品列表数据接口 淘宝商品列表数据采集

融云亮相 2024 ChinaJoy,什么才是游戏迷真正的快乐源泉?

融云 RongCloud

重塑客户体验!VoLTE、VoNR引领新时代企业服务变革

中关村科金

音视频 大模型

Java 后端已经过时的技术,也是我逝去的青春

源字节1号

开源

速卖通商品列表数据接口(标题|主图|销量|价格|店铺)

tbapi

速卖通API接口 速卖通商品列表数据接口 速卖通API

微软:云服务大规模宕机因DDoS“防卫过当”

我再BUG界嘎嘎乱杀

黑客 网络安全 信息安全 DDoS

体验教程:通义灵码陪你备战求职季

阿里巴巴云原生

阿里云 云原生 通义灵码

甲骨文WebLogic服务器曝关键漏洞,无需身份验证即可被远程利用_安全_Dustin Schultz_InfoQ精选文章