首頁 > 安全研究 > 安全通報 > 安全通告

WebLogic wls9-async反序列化遠程命令執行漏洞安全通告

發布時間 2019-04-18

漏洞編號和級別


CVD編號:CNVD-C-2019-48814,危險級別:高危,CVSS分值:官方未評定


影響版本


WebLogic 10.X

WebLogic 12.1.3


漏洞概述


2019年417日,國家信息安全漏洞共享平臺(CNVD)收錄了由中國民生銀行股份有限公司報送的Oracle WebLogic wls9-async反序列化遠程命令執行漏洞(CNVD-C-2019-48814)。攻擊者利用該漏洞,可在未授權的情況下遠程執行命令。目前,官方補丁尚未發布,漏洞細節未公開。


WebLogic Server是美國甲骨文(Oracle)公司開發的一款適用于云環境和傳統環境的應用服務中間件,它提供了一個現代輕型開發平臺,支持應用從開發到生產的整個生命周期管理,并簡化了應用的部署和管理。


部分版本WebLogic中默認包含的wls9_async_response包,為WebLogic Server提供異步通訊服務。由于該WAR包在反序列化處理輸入信息時存在缺陷,攻擊者可以發送精心構造的惡意 HTTP 請求,獲得目標服務器的權限,在未授權的情況下遠程執行命令。


CNVD秘書處對WebLogic服務在全球范圍內的分布情況進行分析,結果顯示該服務的全球用戶規模約為6.9萬,其中位于我國境內的用戶規模約為2.9萬。


CNVD秘書處組織技術力量進行技術檢測,發現我國境內WebLogic用戶中,共有461個網站受此漏洞影響,所占比例為1.6%,該比例遠低于我平臺在2018418日收錄的WebLogic Server反序列化漏洞(CNVD-2018-07811)的影響范圍。


CNVD國家漏洞庫將對發現存在漏洞網站的單位進行通報,及時消除漏洞攻擊威脅。


漏洞驗證


暫無POC、EXP。

漏洞檢查方法

打開URLhttp://IP:端/_async/),提示錯誤403且含有“From RFC 2068 Hypertext Transfer Protocol -- HTTP/1.1:”-可判斷存在Oracle Oracle WebLogic wls9-async反序列化遠程命令執行漏洞。




修復建議


目前,Oracle官方暫未發布補丁,臨時解決方案如下:

1、 刪除該war包(bea_wls9_async_response.war)并重啟webLogic;

2、 通過訪問策略控制禁止 /_async/* 路徑的URL訪問。

建議使用WebLogic Server構建網站的信息系統運營者進行自查,發現存在漏洞后,按照臨時解決方案及時進行修復。


參考鏈接


http://www.cnvd.org.cn/webinfo/show/4989

+886 12345678

+886 12345678

上海

地址:中國·上海


上一篇 下一篇