收藏 [登錄/注冊] 歡迎
榕基門戶網及子站
聯系我們
  • 福建榕基軟件股份有限公司
  • 電話:0591-87860988
  • 傳真:0591-87869595
  • 地址:福建省福州市鼓樓區
  •    軟件大道89號
  •    A區15座
  • 郵編:350003
您的當前位置:首頁 > 技術支持 > 漏洞公告

Oracle WebLogic Server反序列化漏洞

攻擊者可利用該漏洞在未授權的情況下發送攻擊數據,最終實現遠程代碼執行。WebLogic Server 10.3.6.0、12.1.3.0、12.2.1.3等版本均受漏洞影響。目前, Oracle官方已經發布補丁修復了漏洞,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。

一、漏洞介紹

Oracle WebLogic Server是美國甲骨文(Oracle)公司開發的一款適用于云環境和傳統環境的應用服務中間件,它提供了一個現代輕型開發平臺,支持應用從開發到生產的整個生命周期管理,并簡化了應用的部署和管理。

Weblogic中的序列化是指把 Java 對象轉換為字節序列的過程便于保存在內存、文件、數據庫中,反序列化是指把字節序列恢復為 Java 對象的過程。

Weblogic在利用T3協議進行遠程資源加載調用時,默認會進行黑名單過濾以保證反序列化安全。攻擊者可利用漏洞繞過Weblogic反序列化黑名單,在未授權的情況下發送攻擊數據,通過T3協議在WebLogic Server中執行反序列化操作,最終實現遠程代碼執行,進而控制WebLogic服務器。

二、危害影響

攻擊者可利用漏洞在未授權的情況下發送攻擊數據,通過T3協議在WebLogic Server中執行反序列化操作,最終實現遠程代碼執行。該漏洞涉及了多個版本,具體受影響版本如下:

Oracle WebLogic Server 10.3.6.0

Oracle WebLogic Server 12.1.3.0

Oracle WebLogic Server 12.2.1.3

三、修復建議

目前, Oracle官方已經發布補丁修復了漏洞,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。Oracle官方更新鏈接如下:

https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html


福彩3d跨度走势图300期带连线