中共天津市委網絡安全和信息化委員會辦公室

天津市互聯網信息辦公室

|

注冊

CNNVD 關于Oracle WebLogic Server遠程代碼執行漏洞的通報

CNNVD安全動態 | 2019年06月17日 17:33

  近日,國家信息安全漏洞庫(CNNVD)收到關于Oracle WebLogic Server遠程代碼執行漏洞(CNNVD-201906-596)情況的報送。攻擊者可利用該漏洞在未授權的情況下發送攻擊數據,實現任意代碼執行。該漏洞是由于Oracle一個歷史漏洞(CNNVD-201904-961)修補不完善導致。CNNVD已于2019年4月23日發布了該漏洞預警,盡管4月26日Oracle發布了補丁,但近日發現該漏洞仍可被新的攻擊方式利用。Oracle WebLogic Server 10.3.6.0、12.1.3.0等版本均受漏洞影響。目前, Oracle官方暫未發布該漏洞補丁,但可以通過臨時修補措施緩解漏洞帶來的危害,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。

  一、漏洞介紹

  Oracle WebLogic Server是美國甲骨文(Oracle)公司開發的一款適用于云環境和傳統環境的應用服務中間件,它提供了一個現代輕型開發平臺,支持應用從開發到生產的整個生命周期管理,并簡化了應用的部署和管理。

  2019年4月26日,Oracle官方發布了Oracle WebLogic Server遠程代碼執行漏洞(CNNVD-201904-961)的修復補丁,但是在同年6月16日,國家信息安全漏洞庫(CNNVD)收到了該漏洞補丁被繞過并利用的情況報送,攻擊者可以在未經授權的情況下,遠程發送HTTP請求,最終實現遠程代碼的執行。

  二、危害影響

  攻擊者可利用漏洞在未授權的情況下遠程發送攻擊數據,最終實現遠程代碼執行。Oracle WebLogic Server 10.3.6.0、12.1.3.0等版本均受漏洞影響。

  三、修復建議

  目前, Oracle官方暫未發布該漏洞補丁,但可以通過臨時修補措施緩解漏洞帶來的危害,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。

  1、通過訪問策略控制禁止 /_async/* 及 /wls-wsat/* 路徑的URL訪問,此操作可能會造成業務系統無法正常使用,可通過白名單機制允許授權用戶訪問。

  2、在明確不使用wls-wsat.war和bea_wls9_async_response.war的情況下, 建議直接刪除該組件并重啟WebLogic服務器。

  3、建議使用WebLogic Server構建網站的信息系統運營者進行自查,發現存在漏洞后,按照臨時解決方案及時進行修復。

  本通報由CNNVD技術支撐單位——知道創宇404實驗室提供支持。

  CNNVD將繼續跟蹤上述漏洞的相關情況,及時發布相關信息。如有需要,可與CNNVD聯系。

  聯系方式: [email protected]

云南快乐十分如何玩