Weblogic的CVE-2019-2725漏洞描述与修复方案

江小悠 15 0

漏洞描述:由于在反序列化处理输入信息的过程中存在缺陷,未经授权的攻击者可以发送精心构造的恶意HTTP请求,利用该漏洞获取服务器权限,实现远程代码执行。
修复建议:官方目前已发布针对此漏洞的紧急修复补丁,可以采取以下4种方式

进行防护。
1)及时打上官方CVE-2019-2725补丁包
官方已于4月26日公布紧急补丁包

2)升级本地JDK版本
因为 Weblogic所采用的是其安装文件中默认。6版本的JDK文件,属于存在反序列化漏洞的JDK版本,因此升级到JDK7u21以上版本可以避免由于java原生

类反序列化漏洞造成的远程代码执行。

3)配置URL访问控制策略
部署于公网的 WebLogic服务器,可通过ACL禁止对/_async/及/wls-wsat/路径的访问。

4)删除不安全文件
删除wls9_async_response.war与wls-wsat.war文件及相关文件夹,并重启 Weblogic服务。具体文件路径如下:

10.3.版本:
\Middleware\wlserver_10.3 \server\lib\% DOMAIN_HOME%\servers\AdminServer\tmpl_WL_internal\DOMAINHOME\serversAdminServertmp.internal

12.1.3版本:
\Middleware\Oracle_Home\oracle_commonmodules %DOMAIN_HOME%\server s\AdminServer\tmp\.internal\%DOMAIN_ HOME%\servers\AdminServer\tmp\_WL_internal\

注:wls9_async_response.war及wls-wsat.war属于一级应用包,对其进行移除或更名操作可能造成未知的后果, Oracle官方不建议对其进行此类操作。若在直接删除此包的情况下应用出现问题,将无法得到 Oracle产品部门的技术支持。请用户自行进行影响评估,并对此文件进行备份后,再执行此操作。

发表评论 取消回复
表情 图片 链接 代码

分享