99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源

Oracle WebLogic T3反序列化漏洞安全風(fēng)險(xiǎn)通告

發(fā)布日期：2021-4-20

?

漏洞描述

近日，監(jiān)測(cè)到Oracle WebLogic T3反序列化遠(yuǎn)程命令執(zhí)行漏洞最新利用方式，經(jīng)驗(yàn)證，漏洞真實(shí)存在，屬未公開0day，且官方暫未發(fā)布補(bǔ)丁，風(fēng)險(xiǎn)極高。在此，提醒Oracle WebLogic用戶盡快采取安全措施阻止漏洞攻擊。

漏洞危害

該漏洞是由于應(yīng)用在處理反序列化輸入信息時(shí)存在缺陷，攻擊者可以通過發(fā)送精心構(gòu)造的惡意請(qǐng)求，獲得目標(biāo)服務(wù)器的權(quán)限，并在未授權(quán)的情況下執(zhí)行遠(yuǎn)程命令，最終獲取服務(wù)器的權(quán)限。

漏洞等級(jí)

高危
受影響版本

Oracle WebLogic Server 10.3.6.0.0

Oracle WebLogic Server 12.1.3.0.0

修復(fù)方案

• 禁用T3協(xié)議

如果您不依賴T3協(xié)議進(jìn)行JVM通信，可通過暫時(shí)阻斷T3協(xié)議緩解此漏洞帶來的影響。

• 進(jìn)入Weblogic控制臺(tái)，在base_domain配置頁(yè)面中，進(jìn)入“安全”選項(xiàng)卡頁(yè)面，點(diǎn)擊“篩選器”，配置篩選器。
• 在連接篩選器中輸入：security.net.ConnectionFilterImpl，在連接篩選器規(guī)則框中輸入：* * 7001 deny t3 t3s。

將JDK升級(jí)到最新版。