漏洞描述:由于在反序列化处理输入信息的过程中存在缺陷,未经授权的攻击者可以发送精心构造的恶意HTTP请求,利用该漏洞获取服务器权限,实现远程代码执行。
修复建议:官方目前已发布针对此漏洞的紧急修复补丁,可以采取以下4种方式进行防护。
1)及时打上官方CVE-2019-2725补丁包
官方已于4月26日公布紧急补丁包
2)升级本地JDK版本
因为Weblogic所采用的是其安装文件中默认1.6版本的JDK文件,属于存在反序列化漏洞的JDK版本,因此升级到JDK7u21以上版本可以避免由于Java原生类反序列化漏洞造成的远程代码执行。
3)配置URL访问控制策略
部署于公网的 WebLogic服务器,可通过ACL禁止对l_async/及/wls-wsat/路径的访问。
4)删除不安全文件
删除 wls9_async_response.war与wls-wsat.war 文件及相关文件夹,并重启Weblogic 服务。
具体文件路径如下:10.3.*版本:Middlewarelwlserver_10.3\serverVlib\%DOMAIN_HOME%\servers\AdminServerltmpl_WL_internall%DOMAIN_HOME%\serversWAdminServerltmpl.internall12.1.3版本:Middleware\Oracle_Home\oracle_common\modules\%DOMAIN_HOME%\servers\AdminServer\tmpl.internal\%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\
注: wls9_async_response.war 及wls-wsat.war属于一级应用包,对其进行移除或更名操作可能造成未知的后果,Oracle官方不建议对其进行此类操作。若在直接删除此包的情况下应用出现问题,将无法得到Oracle 产品部门的技术支持。请用户自行进行影响评估,并对此文件进行备份后,再执行此操作。IT学习笔记
http://www.mobiletrain.org/note/