安全公告 UCloud-201904-006:Weblogic反序列化远程命令执行漏洞安全预警

UCloud-201904-006:Weblogic反序列化远程命令执行漏洞安全预警

  • 发布时间 2019-04-25
  • 更新时间 2019-04-25
  • 漏洞等级 High
  • CVE编号

漏洞详情

2019年4月17日,CNVD公布编号为CNVD-C-2019-48814的WebLogic漏洞,指出该漏洞受影响的war包为bea_wls9_async_response.war。wls9-async组件为WebLogic Server提供异步通讯服务,默认应用于WebLogic部分版本。由于该war包在反序列化处理输入信息时存在缺陷,攻击者通过发送精心构造的恶意 HTTP 请求,即可获得目标服务器的权限,在未授权的情况下远程执行命令。

影响范围

影响产品:
Oracle WebLogic Server10.3.6.0.0
Oracle WebLogic Server12.1.3.0.0
Oracle WebLogic Server12.2.1.1.0
Oracle WebLogic Server12.2.1.2.0
影响组件:
bea_wls9_async_response.war
wsat.war

修复方案

注意:安装升级前,请做好数据备份、快照和测试工作,防止发生意外
1.等待Oracle官方发布补丁后进行升级
2.执行缓解措施:
1) 删除受影响的组件war包并重启webLogic
2) 通过访问策略控制禁止 /_async/* 和 /wls-wsat/*路径的URL访问

参考链接

https://mp.weixin.qq.com/s?__biz=MzU3ODM2NTg2Mg==&mid=2247486739&idx=1&sn=d1a37e5fd9a6f72562136143414ad1f9&scene=21#wechat_redirect