文档章节

【重要安全预警】WebLogic反序列化漏洞补丁绕过

_夜枫
 _夜枫
发布于 2017/06/27 16:53
字数 466
阅读 22
收藏 0

原文链接

著名的web中间件WebLogic被曝出之前的反序列化安全漏洞补丁存在绕过安全风险,用户更新补丁后,仍然存在被绕过成功执行远程命令攻击的情况,攻击者可以通过该漏洞获取系统权限,安全风险高,Oracle官方及时发布了最新补丁,修复了该漏洞,阿里云安全团队建议用户尽快自查并升级。  
具体详情如下:                                                                                    

漏洞编号:  
CVE-2017-3248 
漏洞名称:  
WebLogic 反序列化漏洞补丁绕过 
官方评级:  
高危  
漏洞描述:  
Oracle WebLogic Server 10.3.6.0, 12.1.3.0, 12.2.1.0和12.2.1.1版本存在反序列化远程命令执行漏洞,恶意人员可以通过构造恶意请求报文远程执行命令,获取系统权限,存在严重的安全风险。 
漏洞利用条件和方式:  
远程利用  
漏洞影响范围:  
WebLogic 10.3.6.0 
WebLogic 12.1.3.0 
WebLogic 12.2.1.0 
WebLogic 12.2.1.1 
漏洞检测:  

  • 检测版本是否在受影响范围内
  • 检测是否对外开放weblogic 7001端口

 
漏洞修复建议(或缓解措施):

  • 目前厂商已经发布了最新升级补丁以修复这些安全问题,强烈建议您尽快安装最新补丁;
  • 使用安全组策略屏蔽7001内网入和公网入方向流量。

 
提示:oracle官方补丁需要已经有购买正版软件的许可账号,使用该账号登录到https://support.oracle.com后才能下载最新补丁。 
情报来源:  

  • http://www.securityfocus.com/bid/95465
  • http://www.cnvd.org.cn/flaw/show/CNVD-2017-00919
  • http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html#AppendixFMW

 

 

原文链接

 

本文转载自:http://click.aliyun.com/m/24168/

共有 人打赏支持
_夜枫
粉丝 10
博文 506
码字总数 0
作品 0
朝阳
后端工程师
WebLogic反序列化漏洞(CVE-2018-2628)漫谈

  漏洞简介   2018年4月18日,Oracle官方发布了4月份的安全补丁更新CPU(Critical Patch Update),更新中修复了一个高危的 WebLogic 反序列化漏洞CVE-2018-2628。攻击者可以在未授权的情...

FreeBuf
04/26
0
0
CVE-2018-2628补丁绕过分析与修复建议

  * 本文作者:sunyz2,本文属FreeBuf原创奖励计划,未经许可禁止转载   一、漏洞背景   Oracle官方在北京时间2018年4月18日凌晨发布了关键补丁更新,其中包含了OracleWebLogic Server...

FreeBuf
05/14
0
0
缝缝补补的WebLogic:绕过的艺术

  前言   目前Weblogic在全球的使用量占居前列,据统计,在全球范围内对互联网开放Weblogic服务的资产数量多达35382台,其中归属中国地区的资产数量为10562台。如果爆发一个Weblogic高危...

FreeBuf
08/08
0
0
天融信关于CVE-2018-2893 WebLogic反序列化漏洞分析

  一、背景介绍   WebLogic是美国Oracle公司出品的一个Application Server,确切的说是一个基于JAVA EE架构的中间件, WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用...

FreeBuf
07/25
0
0
漏洞预警 WebLogic WLS核心组件反序列化漏洞(CVE-2018-2893)

  Oracle FusionMiddleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle WebLogic Server是其中的...

FreeBuf
07/18
0
0

没有更多内容

加载失败,请刷新页面

加载更多

Web系统大规模并发:电商秒杀与抢购

一、大规模并发带来的挑战 在过去的工作中,我曾经面对过5w每秒的高并发秒杀功能,在这个过程中,整个Web系统遇到了很多的问题和挑战。如果Web系统不做针对性的优化,会轻而易举地陷入到异常...

xtof
今天
2
0
代码质量管理平台-sonarqube

在工作中,往往开发的时候会不怎么注重代码质量的人很多,存在着很多的漏洞和隐患等问题,sonarqube可以进行代码质量的审核,而且十分的残酷。。。。。接下来我们说下怎么安装 进入官网下载:...

落叶清风
今天
7
0
在Ubuntu安装和配置Sphinx

Ubuntu系统默认是配置有sphinx的,先检查一下,别多此一举。。。。。 在开始本指南之前,您需要: 一个Ubuntu 16.04服务器。 sudo的一个非root用户,您可以通过以下设置本教程 。 安装在服务...

阿锋zxf
今天
3
0
Qt编写输入法V2018超级终结版

对于qt嵌入式linux开发人员来说,输入法一直是个鸡肋问题,要么不支持实体键盘同步,要么不能汉字输入,要么不支持网页输入等,这几年通过陆续接触大量的各种输入法应用场景客户,得到真实需...

飞扬青云
今天
2
0
TypeScript基础入门之高级类型的多态的 this类型

转发 TypeScript基础入门之高级类型的多态的 this类型 高级类型 多态的this类型 多态的this类型表示的是某个包含类或接口的子类型。 这被称做F-bounded多态性。 它能很容易的表现连贯接口间的...

durban
今天
2
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部