這篇文章將為大家詳細(xì)講解有關(guān)Oracle WebLogic XMLDecoder反序列化漏洞分析是怎樣進行的，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個參考，希望大家閱讀完這篇文章后對相關(guān)知識有一定的了解。

港閘ssl適用于網(wǎng)站、小程序/APP、API接口等需要進行數(shù)據(jù)傳輸應(yīng)用場景，ssl證書未來市場廣闊！成為創(chuàng)新互聯(lián)的ssl證書銷售渠道，可以享受市場價格4-6折優(yōu)惠！如果有意向歡迎電話聯(lián)系或者加微信：18980820575（備注：SSL證書合作）期待與您的合作！

一、前言

Oracle Fusion Middleware（Oracle融合中間件）是美國甲骨文（Oracle）公司的一套面向企業(yè)和云環(huán)境的業(yè)務(wù)創(chuàng)新平臺。該平臺提供了中間件、軟件集合等功能。Oracle WebLogic Server是其中的一個適用于云環(huán)境和傳統(tǒng)環(huán)境的應(yīng)用服務(wù)器組件。

WebLogic中默認(rèn)包含的wls-wast 與wls9_async_response war包，由于以上WAR包采用XMLDecoder反序列化機制來處理發(fā)送過來的XML數(shù)據(jù)，遠(yuǎn)程惡意攻擊者可以通過發(fā)送精心構(gòu)造的HTTP請求，在未授權(quán)的情況下遠(yuǎn)程執(zhí)行命令，獲得目標(biāo)服務(wù)器的權(quán)限。也就是說，攻擊者能夠直接獲取服務(wù)器系統(tǒng)權(quán)限，進行數(shù)據(jù)竊取，進而甚至?xí){受害者的內(nèi)網(wǎng)安全。

Weblogic因為XMLDecoder反序列化不安全數(shù)據(jù)導(dǎo)致的漏洞目前有三個，第一個是CVE-2017-3506 ，第二個是CVE-2017-10271。這兩個歷史漏洞的數(shù)據(jù)輸入點在 /wls-wsat/* 目錄下。第三個是 CVE-2019-2725，這個漏洞的數(shù)據(jù)輸入點增加了一個/_async/*. 

網(wǎng)藤CRS/ARS產(chǎn)品已全面支持該漏洞的檢測與驗證，網(wǎng)藤用戶可直接登陸www.riskivy.com進行驗證。

二、影響版本

Oracle WebLogic Server 10.x

Oracle WebLogic Server 12.1.3

三、漏洞危害

1.可通過訪問路徑/_async/AsyncResponseServiceSoap12判斷wls9_async_response組件是否存在。若返回如下頁面，請引起關(guān)注，及時采取防護措施。    

   

2.可通過訪問路徑/wls-wsat/CoordinatorPortType，判斷wls-wsat組件是否存在。若返回如下頁面，則此組件存在。請引起關(guān)注，及時采取防護措施。

四、修復(fù)方案

4.1 配置訪問控制策略

可通過配置訪問控制策略禁止非法用戶訪問以下路徑

/wls-wsat/*/_async/*

4.2 刪除不安全文件

刪除 wls9_async_response.war 與 wls-wsat.war 文件及相關(guān)文件夾，并重啟 Weblogic 服務(wù)。具體文件路徑如下：

Oracle WebLogic Server 10.3.x ：\Middleware\wlserver_10.3\server\lib\%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\Oracle WebLogic Server 12.1.3 ：\Middleware\Oracle_Home\oracle_common\modules\%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\

4.3 升級JDK 版本

本次漏洞繞過只生效于JDK6，可升級JDK版本至JDK7及以上。

關(guān)于Oracle WebLogic XMLDecoder反序列化漏洞分析是怎樣進行的就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學(xué)到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。

標(biāo)題名稱：OracleWebLogicXMLDecoder反序列化漏洞分析是怎樣進行的
新聞來源：http://jinyejixie.com/article38/ppjdsp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供電子商務(wù)、、軟件開發(fā)、標(biāo)簽優(yōu)化、商城網(wǎng)站、營銷型網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)