99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源

漏洞概述

WebLogic Server是美國甲骨文（Oracle）公司開發(fā)的一款適用于云環(huán)境和傳統(tǒng)環(huán)境的應(yīng)用服務(wù)中間件，它提供了一個(gè)現(xiàn)代輕型開發(fā)平臺，支持應(yīng)用從開發(fā)到生產(chǎn)的整個(gè)生命周期管理，并簡化了應(yīng)用的部署和管理。

部分版本W(wǎng)ebLogic中默認(rèn)包含的wls9_async_response包，為WebLogic Server提供異步通訊服務(wù)。由于該WAR包在反序列化處理輸入信息時(shí)存在缺陷，攻擊者可以發(fā)送精心構(gòu)造的惡意 HTTP 請求，獲得目標(biāo)服務(wù)器的權(quán)限，在未授權(quán)的情況下遠(yuǎn)程執(zhí)行命令。

目前，官方補(bǔ)丁尚未發(fā)布，漏洞細(xì)節(jié)未公開。

漏洞編號

CNVD-C-2019-48814

漏洞等級

高危

受影響版本

WebLogic 10.X

WebLogic 12.1.3

解決方案

目前，Oracle官方暫未發(fā)布補(bǔ)丁，臨時(shí)解決方案如下：

1、 刪除該war包并重啟webLogic；

2、 通過訪問策略控制禁止 /_async/* 路徑的URL訪問。

建議使用WebLogic Server構(gòu)建網(wǎng)站的信息系統(tǒng)運(yùn)營者進(jìn)行自查，發(fā)現(xiàn)存在漏洞后，按照臨時(shí)解決方案及時(shí)進(jìn)行修復(fù)。