UCloud-201904-006:Weblogic反序列化远程命令执行漏洞安全预警
- 发布时间 2019-04-25
- 更新时间 2019-04-25
- 漏洞等级 High
- CVE编号
漏洞详情
2019年4月17日,CNVD公布编号为CNVD-C-2019-48814的WebLogic漏洞,指出该漏洞受影响的war包为bea_wls9_async_response.war。wls9-async组件为WebLogic Server提供异步通讯服务,默认应用于WebLogic部分版本。由于该war包在反序列化处理输入信息时存在缺陷,攻击者通过发送精心构造的恶意 HTTP 请求,即可获得目标服务器的权限,在未授权的情况下远程执行命令。
影响范围
影响产品:
Oracle WebLogic Server10.3.6.0.0
Oracle WebLogic Server12.1.3.0.0
Oracle WebLogic Server12.2.1.1.0
Oracle WebLogic Server12.2.1.2.0
影响组件:
bea_wls9_async_response.war
wsat.war
修复方案
注意:安装升级前,请做好数据备份、快照和测试工作,防止发生意外
1.等待Oracle官方发布补丁后进行升级
2.执行缓解措施:
1) 删除受影响的组件war包并重启webLogic
2) 通过访问策略控制禁止 /_async/* 和 /wls-wsat/*路径的URL访问