漏洞预警 | WebLogic XMLDecoder反序列化漏洞(CVE-2017-10271)
Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle WebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。
漏洞编号
CVE-2017-10271
影响范围
Oracle WebLogic Server 10.3.6.0.0版本
Oracle WebLogic Server 12.1.3.0.0版本
Oracle WebLogic Server 12.2.1.1.0版本
漏洞详情
Oracle Fusion Middleware中的Oracle WebLogic Server组件的WLS Security子组件存在安全漏洞。使用精心构造的xml数据可能造成任意代码执行,攻击者只需要发送精心构造的 HTTP 请求,就可以拿到目标服务器
的权限。攻击者可利用该漏洞控制组件,影响数据的可用性、保密性和完整性。
修复方案
1. 升级Oracle 10月份补丁
2. 对访问wls-wsat的资源进行访问控制
参考:
http://www.oracle.com/technetwork/security-advisory/cpuoct2017verbose-3236627.html
- 上一篇:解析网络犯罪行为的成本
- 下一篇: FireEye报告:揭露新型工控系统恶意软件TRITON
特别推荐
FreeBuf微信订阅号
FreeBuf企业安全服务号
活动预告
-
4月 上海
数据治理与安全运营 | FreeBuf企业安全俱乐部已结束 -
4月
老司机独家代码审计姿势已结束 -
4月
侧信道攻击入坑指南已结束 -
3月
四月去挖洞,五月出国游已结束
已有 4 条评论
今天圈子里面聊开了~
补个球: https://open.work.weixin.qq.com/wwopen/mpnews?mixuin=3_HVCQAABwBuIkeyAAAUAA&mfid=WW0322-Jy56dgAABwC3hf2NINzB1w1SNvc1c&idx=0&sn=55e0f6343b34c62e1980af706e491188&from=timeline&isappinstalled=0
Supported versions that are affected are 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0 and 12.2.1.2.0.
http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html#AppendixFMW