Oracle Fusion Middleware(Oracle融合中介软件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中介软件、软件集合等功能。Oracle WebLogic Server是其中的一个适用于云环境和传统环境的应用服务器元件。
WebLogic中预设包含的wls-wast 与wls9_async_response war包,由于以上WAR包采用XMLDecoder反序列化机制来处理发送过来的XML资料,远端恶意攻击者可以通过传送精心构造的HTTP请求,在未授权的情况下远端执行命令,获得目标服务器的许可权。也就是说,攻击者能够直接获取服务器系统许可权,进行资料窃取,进而甚至会威胁受害者的内网安全。
Weblogic因为XMLDecoder反序列化不安全资料导致的漏洞目前有三个,第一个是CVE-2017-3506 ,第二个是CVE-2017-10271。这两个历史漏洞的资料输入点在 /wls-wsat/ 目录下。第三个是 CVE-2019-2725,这个漏洞的资料输入点增加了一个/_async/.
网藤CRS/ARS产品已全面支援该漏洞的检测与验证,网藤使用者可直接登陆www.riskivy.com进行验证。
二、影响版本Oracle WebLogic Server 10.x
Oracle WebLogic Server 12.1.3
1.可通过访问路径/_async/AsyncResponseServiceSoap12判断wls9_async_response元件是否存在。若返回如下页面,请引起关注,及时采取防护措施。
2.可通过访问路径/wls-wsat/CoordinatorPortType,判断wls-wsat元件是否存在。若返回如下页面,则此元件存在。请引起关注,及时采取防护措施。
四、修复方案4.1 配置访问控制策略可通过配置访问控制策略禁止非法使用者访问以下路径
/wls-wsat/*/_async/*4.2 删除不安全档案
删除 wls9_async_response.war 与 wls-wsat.war 档案及相关资料夹,并重启 Weblogic 服务。具体档案路径如下:
Oracle WebLogic Server 10.3.x :\\Middleware\\wlserver_10.3\\server\\lib\\%DOMAIN_HOME%\\servers\\AdminServer\\tmp\\_WL_internal\\%DOMAIN_HOME%\\servers\\AdminServer\\tmp\\.internal\\Oracle WebLogic Server 12.1.3 :\\Middleware\\Oracle_Home\\oracle_common\\modules\\%DOMAIN_HOME%\\servers\\AdminServer\\tmp\\.internal\\%DOMAIN_HOME%\\servers\\AdminServer\\tmp\\_WL_internal\\4.3 升级JDK 版本
本次漏洞绕过只生效于JDK6,可升级JDK版本至JDK7及以上。
以上是本次高危漏洞预警的相关资讯,如有任何疑问或需要更多支援,可通过以下方式与我们取得联络。
联络电话:400-156-9866
Email:[email protected]
*本文作者:TCC-星光,转载请注明来自FreeBuf.COM
精彩推荐
