开发者社区> java技术栈> 正文

关于WebLogic Server WLS 组件存在远程命令执行漏洞的安全公告

简介: 上周,我们公布了JDK XmlDecoder反序列化这一漏洞(jdk紧急漏洞,XMLDecoder反序列化攻击),这周国家信息安全漏洞共享平台发布了关于这一漏洞的weblogic的公告。
+关注继续查看

上周,我们公布了JDK XmlDecoder反序列化这一漏洞(jdk紧急漏洞,XMLDecoder反序列化攻击),这周国家信息安全漏洞共享平台发布了关于这一漏洞的weblogic的公告。具体如下。

安全公告编号:CNTA-2017-0088

2017年10月18日,国家信息安全漏洞共享平台(CNVD)收录了WebLogic Server WLS 组件远程命令执行漏洞(CNVD-2017-31499,对应CVE-2017-10271)。远程攻击者利用该漏洞通过发送精心构造的 HTTP 请求,获取目标服务器的控制权限。近期,由于漏洞验证代码已公开,漏洞细节和验证利用代码疑似在社会小范围内传播,近期被不法分子利用出现大规模攻击尝试的可能性极大。

一、漏洞情况分析

Oracle WebLogic Server是美国甲骨文(Oracle)公司的一款适用于云环境和传统环境的应用服务器组件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。

2017年10月18日,Oracle官方发布了包括WebLogic Server WLS 组件远程命令执行漏洞的关于Weblogic Server的多个漏洞补丁,却未公开漏洞细节。近日,根据安恒信息安全团队提供的信息,漏洞引发的原因是Weblogic的“wls-wsat”组件在反序列化操作时使用了Oracle官方的JDK组件中“XMLDecoder”类进行XML反序列化操作引发了代码执行,远程攻击者利用该漏洞通过发送精心构造好的HTTP XML数据包请求,直接在目标服务器执行Java代码或操作系统命令。近期可能会有其他使用了“XMLDecoder”类进行反序列化操作的程序爆发类似漏洞,需要及时关注,同时在安全开发方面应避免使用“XMLDecoder”类进行XML反序列化操作。CNVD对上述风险的综合评级为“高危”。

二、漏洞影响范围

OracleWebLogic Server10.3.6.0.0

OracleWebLogic Server12.1.3.0.0

OracleWebLogic Server12.2.1.1.0

OracleWebLogic Server12.2.1.2.0

根据CNVD秘书处对我国大陆地区的4682个WebLogic站点进行检测,共发现283个网站受此漏洞影响,占比6.0%,各省份存在漏洞的IP数量如下表所示:

省份数量省份数量

北京54山西4

广东46云南4

山东31江西3

浙江28甘肃2

上海16广西2

辽宁14贵州2

吉林12湖南2

江苏12四川2

河南10海南1

陕西8河北1

福建7天津1

内蒙古6新疆1

安徽5重庆1

黑龙江5

三、漏洞修复建议

厂商已经发布了修复补丁,建议立即进行更新:

http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html

临时解决方案:

根据实际环境路径,删除WebLogic程序下列war包及目录。

rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war

rm -f /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war

rm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat

重启WebLogic服务或系统后,确认以下链接访问是否为404:

http://ip:port/wls-wsat/CoordinatorPortType11

附:参考链接:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10271

http://www.cnvd.org.cn/flaw/show/CNVD-2017-31499

近期精选

年末干货!2017年度精选干货总结

个人珍藏最全Spring Boot全套视频教程

阿里高级Java面试题(首发,70道,带详细答案)

2017派卧底去阿里、京东、美团、滴滴带回来的面试题及答案

Spring面试题(70道,史上最全)

分享Java干货,高并发编程,热门技术教程,微服务及分布式技术,架构设计,区块链技术,人工智能,大数据,Java面试题,以及前沿热门资讯等。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
18732 0
安全更新!VMware紧急修复旗下产品代码执行高危漏洞
本文讲的是安全更新!VMware紧急修复旗下产品代码执行高危漏洞,本周,VMware紧急发布了多个修补程序,用于解决公司旗下ESXi、vCenter Server、Workstation和Fusion产品中存在的多个安全漏洞,其中甚至还包含一个高危级别漏洞。
1762 0
旧版Mac ESET发现重大安全漏洞,用户陷入远程窃听危机
本文讲的是旧版Mac ESET发现重大安全漏洞,用户陷入远程窃听危机,对黑客而言,有什么能比在一个应用广泛的软件中不费吹灰之力发现漏洞更让人激动的了?
1216 0
Centos7下Docker上部署webgoat(用来演示Web应用程序中的典型安全漏洞的应用程序)
Centos7下Docker上部署webgoat(用来演示Web应用程序中的典型安全漏洞的应用程序)
779 0
微软下周2将发布13个补丁 修复26个安全漏洞
2月5日消息,微软在星期四发布的下周补丁星期二简要介绍中称,微软将修复26个安全漏洞,其中包括Windows中的一个严重的安全漏洞、一个影响32位版本内核的安全漏洞和Office软件中的一些安全漏洞。
726 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
17717 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
23697 0
+关注
java技术栈
Java技术栈是一个以 Java 技术为主的原创技术公众号。分享技术包括但不限于 Java 核心技术、多线程编程、Spring Boot、Spring Cloud、缓存、消息队列、架构设计等各种技术干货、Java 面试题、各种技术教程、行业动态等。
301
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
OceanBase 入门到实战教程
立即下载
阿里云图数据库GDB,加速开启“图智”未来.ppt
立即下载
实时数仓Hologres技术实战一本通2.0版(下)
立即下载