收藏 [登录/注册] 欢迎
菲律宾环亚ag88国际门户网及子站
联系我们
  • 福建菲律宾环亚ag88国际软件股份有限公司
  • 电话:0591-87860988
  • 传真:0591-87869595
  • 地址:福建省福州市鼓楼区
  •    软件大道89号
  •    A区15座
  • 邮编:350003
您的当前位置:首页 > 技术支持 > 漏洞公告

WebLogic Server反序列化RCE 0day漏洞


漏洞编号:CVE-2019-2729

风险等级:紧急

CVSS分值:10.0

受影响版本:

10.3.6.0.0

12.1.3.0.0

12.2.1.3.0                       


 漏洞描述:

CVE-2019-2729漏洞是由于应用在处理反序列化输入信息时存在缺陷,攻击者可以通过发送精心构造的恶意 HTTP 请求,用于获得目标服务器的权限,并在未授权的情况下执行远程命令,最终获取服务器的权限。针对此漏洞,官方已经发布补丁,所以强烈建议受到影响的用户尽快下载官方最新补丁,以防服务器处于高风险之中。

请参考:

/ar/https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html

https://www.oracle.com/ocom/groups/public/@otn/documents/webcontent/5570935.xml 


修复建议:

1、最终解决方法:

- 根据Oracle安全公告:CVE-2019-2729,更新相应的补丁程序。

2、临时解决办法:

反序列化问题是由Oracle WebLogic中的“wls9_async”和“wls-wsat”组件触发。对此有两种缓解方案

 a、删除“wls9_async_response.war”和“wls-wsat.war”然后重新启动WebLogic服务

 b、对URL“/ _async / *”和“/ wls-wsat / *”的URL访问实施访问策略控制

 

威廉希尔