近日,国家信息安全漏洞库(CNNVD)收到关于WebLogic Server Java反序列化漏洞(CNNVD-201511-290)补丁绕过的情况报送。Oracle官方于2015年对该漏洞发布修复补丁(CNPD-201511-0265),由于该补丁采用了“不完全的”黑名单拦截方式进行修复,远程攻击者可利用CNNVD-201701-581/CNNVD-201604-411漏洞绕过该补丁,重新利用CNNVD-201511-290漏洞对用户主机发起攻击。目前,Oracle官方已对CNNVD-201701-581和CNNVD-201604-411漏洞发布修复补丁(CNPD-201701-0447、CNPD-201604-0293),请受影响用户及时更新并持续关注 WebLogic相关公告。
一、 漏洞简介
Oracle WebLogic Server是美国甲骨文(Oracle)公司的一款适用于云环境和传统环境的应用服务器,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。
CNNVD-201511-290:
WebLogic 10.3.6.0, 12.1.2.0, 12.1.3.0, 12.2.1.0版本中存在Java反序列化漏洞(CNNVD-201511-290,CVE-2015-4852)。远程攻击者可借助发送到TCP 7001端口的T3协议流量中特制的序列化Java对象,利用该漏洞执行任意代码。2015年Oracle官方已对该漏洞发布相关补丁(CNPD-201511-0265)。由于该漏洞的补丁采用黑名单的方式过滤危险的反序列化类,这种修复方式存在被绕过的风险。
CNNVD-201604-411、CNNVD-201701-581:
2016年4月与2017年1月,Oracle官方分别发布了两个WebLogic Server组件安全漏洞(CNNVD-201604-411 、CVE-2016-0638和CNNVD-201701-581、CVE-2017-3248),影响WebLogic 10.3.6.0, 12.1.3.0,12.2.1.0, 12.2.1.1 多个版本。上述漏洞均利用了黑名单之外的反序列化类,进而绕过CNNVD-201511-290漏洞补丁,导致远程攻击者可利用CNNVD-201511-290漏洞在目标系统上执行任意代码,甚至可获得网站服务器控制权。
二、修复措施
目前,Oracle官方已针对上述漏洞发布安全公告。请受影响用户及时检查并更新漏洞修复补丁以消除漏洞影响。由于Oracle所采用的补丁修复模式有一定的局限性,建议持续关注WebLogic相关公告。
官方公告:
漏洞预警由CNNVD技术支撑单位——北京启明星辰信息安全技术有限公司提供支持。
CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。
联系方式: [email protected]
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论