WebLogic是美國Oracle公司出品的一個application server,它是一個基于JAVAEE架構的中間件,WebLogic是用于開發、集成、部署和管理大型分布式Web應用、網絡應用和數據庫應用的Java應用服務器。將Java的動態功能和Java Enterprise標準的安全性引入大型網絡應用的開發、集成、部署和管理之中。
4月20日,Oracle WebLogic被發現反序列化零日漏洞,且官方暫未發布補丁,風險極高。以下是漏洞詳情:
漏洞詳情
WebLogic T3反序列化零日漏洞 嚴重程度:重要
該漏洞是由于應用在處理反序列化輸入信息時存在漏洞,攻擊者可以通過發送精心構造的惡意請求,云主機租用,獲得目標服務器的權限,并在未授權的情況下執行遠程命令,最終獲取服務器的權限。
受影響產品和版本
如果用戶在安裝部署Oracle WebLogic時啟用了T3協議或者使用了舊版JDK,那么可能會受到此漏洞影響
解決方案
目前官方暫未發布補丁,風險極高。安全建議:
(1) 禁用T3協議
如果您不依賴T3協議進行JVM通信,可通過暫時阻斷T3協議緩解此漏洞帶來的影響。
1. 進入Weblogic控制臺,在base_domain配置頁面中,進入“安全”選項卡頁面,點擊“篩選器”,配置篩選器。
2. 在連接篩選器中輸入:weblogic.security.net.ConnectionFilterImpl,在連接篩選器規則框中輸入:* * 7001 deny t3 t3s。
(2) 將JDK升級到最新版
查看更多漏洞信息 以及升級請訪問官網:
https://www.oracle.com/cn/security-alerts/
關注中國IDC圈官方微信:idc-quan 我們將定期推送IDC產業最新資訊
查看心情排 行你看到此篇文章的感受是:
云安全 云安全日報210420:Ubuntu配套服務位置協議發現執行任意代碼漏洞
4月19日,免備案服務器,Ubuntu發布了安全更新,修復了配套OpenSLP服務配置協議中發現的執行任意代碼漏洞。 <詳情>
云安全 云安全日報210419:IBM安全統籌與自動化響應平臺發現命令注入漏洞
日前,IBM發布了安全更新,修復了IBM Resilient SOAR中發現的命令注入漏洞。 <詳情>
云安全 美國云計算虛擬化公司思杰Citrix修補網絡產品中的11個漏洞
思杰周二通知客戶,已修復其ADC、網關和SD-WAN網絡產品中的11個漏洞,并強調漏洞與CVE-2019-19781無關且已被許多攻擊利用。 <詳情>
