(CVE-2019-2725绕过)Oracle WebLogic XMLDecoder反序列化漏洞 - BINK 'BOLG (CVE-2019-2725绕过)Oracle WebLogic XMLDecoder反序列化漏洞 - BINK 'BOLG

(CVE-2019-2725绕过)Oracle WebLogic XMLDecoder反序列化漏洞

影响版本

Oracle WebLogic Server 10.x

Oracle WebLogic Server 12.1.3

漏洞危害

1.可通过访问路径/_async/AsyncResponseServiceSoap12判断wls9_async_response组件是否存在。若返回如下页面,请引起关注,及时采取防护措施。

   

2.可通过访问路径/wls-wsat/CoordinatorPortType,判断wls-wsat组件是否存在。若返回如下页面,则此组件存在。请引起关注,及时采取防护措施。

四、修复方案

4.1 配置访问控制策略

可通过配置访问控制策略禁止非法用户访问以下路径

/wls-wsat/*/_async/*

4.2 删除不安全文件

删除 wls9_async_response.war 与 wls-wsat.war 文件及相关文件夹,并重启 Weblogic 服务。具体文件路径如下:

Oracle WebLogic Server 10.3.\Middleware\wlserver_10.3\server\lib\%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\Oracle WebLogic Server 12.1.3 \Middleware\Oracle_Home\oracle_common\modules\%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\

评论 0

挤眼 亲亲 咆哮 开心 想想 可怜 糗大了 委屈 哈哈 小声点 右哼哼 左哼哼 疑问 坏笑 赚钱啦 悲伤 耍酷 勾引 厉害 握手 耶 嘻嘻 害羞 鼓掌 馋嘴 抓狂 抱抱 围观 威武 给力
提交评论

清空信息
关闭评论