【漏洞預警】CNNVD 關于Oracle WebLogic wls9-async反序列化遠程命令執行
近日,國家信息安全漏洞庫(CNNVD)收到Oracle WebLogic wls9-async反序列化遠程命令執行漏洞(CNNVD-201904-961)情況的報送。攻擊者可利用該漏洞在未授權的情況下發送攻擊數據,實現遠程代碼執行。WebLogic 10.X、WebLogic 12.1.3等版本均受漏洞影響。目前, Oracle官方未發布漏洞補丁,但可以通過臨時解決措施緩解漏洞造成的危害,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。
一、漏洞介紹 Oracle WebLogic Server是美國甲骨文(Oracle)公司開發的一款適用于云環境和傳統環境的應用服務中間件,它提供了一個現代輕型開發平臺,支持應用從開發到生產的整個生命周期管理,并簡化了應用的部署和管理。 部分版本WebLogic中默認包含的wls9_async_response包,為WebLogic Server提供異步通訊服務。由于該WAR包在反序列化處理輸入信息時存在缺陷,攻擊者可以發送精心構造的惡意 HTTP 請求,獲得目標服務器的權限,在未授權的情況下遠程執行命令。
?二、危害影響 攻擊者可利用漏洞在未授權的情況下發送攻擊數據,最終實現遠程代碼執行。該漏洞涉及了多個版本,具體受影響版本如下:
WebLogic 10.X WebLogic 12.1.3
三、修復建議 目前, Oracle官方未發布漏洞補丁,但可以通過臨時解決措施緩解漏洞造成的危害,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。 通過訪問策略控制禁止 /_async/* 路徑的URL訪問,此操作可能會造成業務系統無法正常使用,可通過白名單機制允許授權用戶訪問。 建議使用WebLogic Server構建網站的信息系統運營者進行自查,發現存在漏洞后,按照臨時解決方案及時進行修復。 來源:國家信息安全漏洞庫
