freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

“360代码卫士”协助 Oracle 公司修复多个 WebLogic 漏洞,获官方致谢
2019-01-18 08:48:42

近期,360企业安全集团代码卫士团队安全研究人员发现 Oracle 公司旗下产品 Oracle WebLogic Server 的多个安全漏洞(CVE-2019-2398,CVE-2019-2452),并多次第一时间向Oracle公司报告,协助其修复漏洞。

Oracle WebLogic Server 是目前全球 J2EE 使用最广泛的商业应用中间件之一。北京时间2019年1月16日,Oracle 公司发布了关键补丁更新公告 (Oracle Critical Patch Update Advisory - January 2019),公开致谢360企业安全集团代码卫士团队,并授予团队研究人员“安全纵深防御计划贡献者 (Security-In-Depth Contributor)”的称号,且发布相应的补丁修复漏洞。

“安全纵深防御”计划是 Oracle 公司在2008年7月发布的“关键补丁更新”中推出的。如果研究人员提供的与安全漏洞相关的信息、意见或建议促使Oracle 代码或文档的未来版本进行重大修改但其严重程度尚不足以导致在“重要补丁更新”中发布这些修改,则会授予研究人员该称号。目前仅有为数不多的中国安全研究员获此殊荣。

Image16_01_2019_001.png

图 Oracle公司官方公告

ack1.png                                                               图 致谢360代码卫士


蓝信图片_0880c08b0110ddaa8e02.png

图 被授予 “安全纵深防御计划贡献者” 称号

本次Oracle公司本次修复的漏洞中,CVE-2019-2398 和 CVE-2019-2452影响多个WebLogic大版本(10.3.6.0、12.1.3.0、12.2.1.3等),由于系统在对文件操作校验存在缺陷。在一定条件下,成功利用此漏洞的攻击者可以达到目标系统的远程代码执行。建议用户及时更新补丁进行修复。

参考链接

Oracle Critical Patch Update Advisory - January 2019

(https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html)

关于 360 代码卫士

“360代码卫士”是360企业安全集团旗下专注于软件源代码安全的产品线,能力涵盖了源代码缺陷检测、源代码合规检测、源代码溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、代码编写的合规性问题、开源代码安全管控问题。“360代码卫士”系列产品可支持Windows、Linux、Android、Apple iOS、IBM AIX等平台上的源代码安全分析,支持的编程语言涵盖C、C++、C#、Objective-C、Java、JSP、JavaScript、PHP、Python、Go、区块链智能合约Solidity等。目前360代码卫士已应用于上百家大型机构,帮助用户构建自身的代码安全保障体系,消减软件代码安全隐患。

福利

360代码安全实验室正在寻找漏洞挖掘安全研究员,针对常见操作系统、应用软件、网络设备、智能联网设备等进行安全研究、漏洞挖掘。

360代码安全实验室是360代码卫士的研究团队,专门从事源代码、二进制漏洞挖掘和分析的研究团队,主要研究方向包括:Windows/Linux/MacOS 操作系统、应用软件、开源软件、网络设备、IoT设备等。团队成员既有二进制漏洞挖掘高手,微软全球 TOP100 贡献白帽子,Pwn2Own 2017 冠军队员,又有开源软件安全大拿,人工智能安全专家。实验室安全团队的研究成果获得微软、Adobe、思科、Oracle、Linux 等各种开源组织等60多次致谢。

如果你:

  • 对从事漏洞研究工作充满热情

  • 熟悉操作系统原理,熟悉反汇编,逆向分析能力较强

  • 了解常见编程语言,具有一定的代码阅读能力

  • 熟悉 Fuzzing 技术及常见漏洞挖掘工具

  • 挖掘过系统软件、网络设备等漏洞者(有cve编号)优先

  • 具有漏洞挖掘工具开发经验者优先

那么,你将得到:

  • 白花花的银子——月薪20K-60K+年底双薪+项目奖,优秀者还有股票期权哦

  • 暖心的福利——六险一金+各种补贴+下午茶+节假日礼品

  • 重点重点重点——志同道合、暖心的我们

心动不如行动!无论你是经验丰富的大咖儿,还是志向从事安全研究的菜鸟儿,不要犹豫!

赶紧给 liubenjin@360.net 投简历吧!我会在3个工作日内找到你~


扫一扫,关注更多技术干货和热门资讯

qrcode_for_gh_bba053bd7494_1280.jpg


# WebLogic 远程利用
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者