99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源

漏洞描述：

Oracle WebLogic遠(yuǎn)程命令執(zhí)行漏洞最新利用代碼，此攻擊利用繞過(guò)了廠商今年4月底所發(fā)布的最新安全補(bǔ)?。–VE-2019-2725）。

由于該WAR包在反序列化處理輸入信息時(shí)存在缺陷，攻擊者可以發(fā)送精心構(gòu)造的惡意 HTTP 請(qǐng)求，在未授權(quán)的情況下遠(yuǎn)程執(zhí)行命令，獲得目標(biāo)服務(wù)器的權(quán)限。目前，該漏洞已出現(xiàn)野外的利用，但官方尚未給出相應(yīng)的補(bǔ)丁，處于0day狀態(tài)。
強(qiáng)烈建議用戶采取建議的臨時(shí)處置措施免受漏洞的影響。

漏洞編號(hào)：

CVE-2019-2725

漏洞等級(jí)：

高危

受影響版本：

WebLogic 10.3.6.0

WebLogic 12.1.3

臨時(shí)解決方案：

由于目前廠商還未提供漏洞相應(yīng)的官方補(bǔ)丁，建議采取如下臨時(shí)措施規(guī)避漏洞導(dǎo)致的風(fēng)險(xiǎn)：

l 配置URL訪問(wèn)控制策略

部署于公網(wǎng)的WebLogic服務(wù)器，可通過(guò)ACL禁止對(duì)/_async/*及/wls-wsat/*路徑的訪問(wèn)。

l 刪除不安全文件

刪除wls9_async_response.war與wls-wsat.war文件及相關(guān)文件夾，并重啟Weblogic服務(wù)。具體文件路徑如下：

10.3.*版本：

\Middleware\wlserver_10.3\server\lib\

%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\

%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\

12.1.3版本：

\Middleware\Oracle_Home\oracle_common\modules\

%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\

%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\

注：wls9_async_response.war及wls-wsat.war屬于一級(jí)應(yīng)用包，對(duì)其進(jìn)行移除或更名操作可能造成未知的后果，Oracle官方不建議對(duì)其進(jìn)行此類操作。若在直接刪除此包的情況下應(yīng)用出現(xiàn)問(wèn)題，將無(wú)法得到Oracle產(chǎn)品部門的技術(shù)支持。請(qǐng)用戶自行進(jìn)行影響評(píng)估，并對(duì)此文件進(jìn)行備份后，再執(zhí)行此操作。

建議使用WebLogic Server構(gòu)建網(wǎng)站的信息系統(tǒng)運(yùn)營(yíng)者進(jìn)行自查，發(fā)現(xiàn)存在漏洞后，按照臨時(shí)解決方案及時(shí)進(jìn)行修復(fù)。請(qǐng)密切關(guān)注Oracle官方7月補(bǔ)丁通告。

l 禁用bea_wls9_async_response組件

用戶可通過(guò)在weblogic啟動(dòng)參數(shù)中禁用bea_wls9_async_response的方式，對(duì)此漏洞形成臨時(shí)防護(hù)。

在禁用不安全組件前，需請(qǐng)開發(fā)人員確認(rèn)應(yīng)用系統(tǒng)是否使用了weblogic提供的異步WebService功能，排查方法請(qǐng)附錄章節(jié)。如果確認(rèn)沒有使用，可以使用如下方式禁用此功能：

a）以windows系統(tǒng)為例，在啟動(dòng)文件（%DOMAIN_HOME%\bin\startWeblogic.cmd）中加如下參數(shù)：

set JAVA_OPTIONS=%JAVA_OPTIONS% -Dweblogic.wsee.skip.async.response=true

set JAVA_OPTIONS=%JAVA_OPTIONS% -Dweblogic.wsee.wstx.wsat.deployed=false

b) 對(duì)應(yīng)用程序進(jìn)行嚴(yán)格測(cè)試。

c）測(cè)試結(jié)果沒有問(wèn)題后，重啟Weblogic服務(wù)，使參數(shù)生效。