我修复印象比较深的bug

简介: Oracle WebLogic T3反序列化漏洞

对于我印象比较深的bug,是在今年4月分的时候,由阿里云应急响应中心检测到的Oracle WebLogic T3反序列化漏洞,Oracle WebLogic T3反序列化远程命令执行漏洞最新利用方式,并且经过验证是真是存在的漏洞,并且是属于0day的级别,当时官方并没有
发布相关补丁,风险级别比较高。
对于漏洞的描述当时写的也是比较清楚的,这个漏斗是由于应用在处理反序列化输入信息的时候存在有一定的缺陷,攻击者可以通过发送恶意请求,从而获得数据库所在服务器的权限,并且可以在未授权的情况下远程执行名利,最终获得服务器的权限,漏洞当时是比较新的,导致官方并没有发布相关的补丁。
当时我们经常使用阿里云,经常关注阿里云,阿里云在发现漏洞的的第一时间就提醒我们广大用户进行组织漏洞攻击。这次涉及的漏洞版本号为Oracle WebLogic Server 10.3.6.0.0、Oracle WebLogic Server 12.1.3.0.0主要是这两个版本上存在漏洞、这个漏洞在当时是属于比较严重的漏洞了
经过对比我们发现我们使用的正是这两个版本之一,向上反馈后立马进行阻止漏洞,
对于当时我们来说有两种解决方案
第一,是禁用T3协议、当时我们是不依赖T3协议进行JVM通信的,所以我们决定通过阻断T3协议来缓解漏洞带来的影响,具体的操作步骤如下,
第一中方法进入Weblogic控制台,在base_domain配置页面中,进入“安全”选项卡页面,点击“筛选器”,配置筛选器
image.png
第二步 在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入: 7001 deny t3 t3s。
image.png
然后在深夜进行重启,
第二种方法是将JDK的版本升级到最新的版本
通过这次

目录
相关文章
|
2月前
|
SQL 运维 Java
记一个折磨了我一天半的 Bug
一杯茶,一根烟,一个 Bug 一天根本改不完。
36 1
|
6月前
|
XML SQL 前端开发
Bug积累
Bug积累
49 1
|
7月前
|
人工智能 网络安全 Python
一篇普通的bug日志——bug的尽头是next吗?
[bug 1] TypeError: ‘method’ object is not subscriptable 问题代码:
140 0
一篇普通的bug日志——bug的尽头是next吗?
这短短 6 行代码你能数出几个bug?
这短短 6 行代码你能数出几个bug?
51 0
|
存储 算法 Java
10 个让人头疼的 bug
那个谁,今天又写 bug 了,没错,他说的好像就是我。。。。。。 作为 Java 开发,我们在写代码的过程中难免会产生各种奇思妙想的 bug ,有些 bug 就挺让人无奈的,比如说各种空指针异常,在 ArrayList 的迭代中进行删除操作引发异常,数组下标越界异常等。
10 个让人头疼的 bug
赛博朋克首发Bug多,CDPR:旅程刚开始,已着手更新修复
赛博朋克首发Bug多,CDPR:旅程刚开始,已着手更新修复
324 0
赛博朋克首发Bug多,CDPR:旅程刚开始,已着手更新修复
|
存储 NoSQL 数据库
印象最深的bug
最恐怖的bug既不是环境问题,也不是并发,服务器崩溃。
158 0
印象最深的bug
|
运维 监控 IDE
同事牛逼啊,写了个隐藏 bug,我排查了 3 天才解决问题!
最近线上监控 SFTP 连接频繁爆表,通过重启某个系统,连接数迅速下降,系统就能恢复正常,初步判断是应用程序连接未关闭的问题导致的。
同事牛逼啊,写了个隐藏 bug,我排查了 3 天才解决问题!
|
JavaScript
我修复的印象最深的一个bug:vue在ie下的兼容性
很多兼容性问题都是因为浏览器对标签的默认属性解析不同造成的,只要我们稍加设置都能轻松地解决这些兼容问题。
253 0
我修复的印象最深的一个bug:vue在ie下的兼容性