禁用weblogic UDDI and UDDI Explorer Functionality

最新推荐文章于 2023-07-05 21:36:11 发布
最新推荐文章于 2023-07-05 21:36:11 发布
阅读量1.1k 收藏
点赞数
分类专栏: weblogic
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jycjyc/article/details/103839041
版权

This article describes how to disable UDDI and UDDI Explorer functionality in WebLogic Server.  You may not be using this feature and be looking to disable non-required applications.

See the following documentation before determining if this is for you:

Fusion Middleware Programming Advanced Features of JAX-WS Web Services for Oracle WebLogic Server 10.3.6
https://docs.oracle.com/middleware/11119/wls/WSADV/uddi.htm

Getting Started With Installation for Oracle WebLogic Server
https://docs.oracle.com/cd/E28280_01/web.1111/e13751/getst.htm#GETST109

Once you have determined that your deployed applications are not using this feature, this document provides the steps to disable the /uddi and /uddiexplorer applications.

SOLUTION

Note: If the supplied UDDI applications presents a security issue as the reason for looking to disable it, the recommended action is to apply the latest Patch Set Update from Note 1470197.1 to fix known issues with all WebLogic Server supplied applications. If there is a further issue, please report findings to Oracle.

Update January 2019 - See CVE-2019-2395 in the January 2019 Advisory.  Beginning with WLS PSU 10.3.6.0.190115, the UDDI related internal app is disabled. No further action is required. You may optionally delete the files, as was previously documented below. After you apply a newer PSU, the files will be placed on the system again due to patching mechanisms, but will be disabled. The UDDI app is seldom used and is no longer recommended due to associated security issues. The UDDI related internal app may be re-enabled with a system property -Dweblogic.wsee.skip.uddi=false when starting WebLogic Server. (When skip is set to false, then deployment will occur at startup, i.e., it will not be skipped).




Once you have determined that your deployed applications are not using this feature, below is what you need to do to disable UDDI and UDDI Explorer:

  1. From WL_HOME/server/lib, delete uddi.*, specifically:

    uddi.properties
    uddi.war
    uddiexplorer.war

    You can also move the files somewhere else if you want to keep the copies (recommended). However, be sure that you move them entirely out of the server/lib area.
     
  2. In your domain, delete the uddi and uddiexplorer cache files, specifically:

    DOMAIN_HOME/servers/AdminServer/tmp/.internal/uddi.war
    DOMAIN_HOME/servers/AdminServer/tmp/.internal/uddiexplorer.war

    and the expanded folders for the same:
    DOMAIN_HOME/servers/AdminServer/tmp/_WL_internal/uddi folder
    DOMAIN_HOME/servers/AdminServer/tmp/_WL_internal/uddiexplorer folder

    Again, you can move the files elsewhere, but be sure to move them entirely out of the domain.
     
  3. After you have removed all of these files, start (or restart) your domain. You should see warning messages like these in your startup log (and/or sysout):

    <Warning> <Deployer> <BEA-149617> <Non-critical internal application uddi was not deployed. Error: [Deployer:149158]No application files exist at '<WL_HOME>\server\lib\uddi.war'.>
     <Warning> <Deployer> <BEA-149617> <Non-critical internal application uddiexplorer was not deployed. Error: [Deployer:149158]No application files exist at '<WL_HOME>\server\lib\uddiexplorer.war'.>

After the server restarts, pulling up UDDI Explorer fails with a 404 error, confirming that the UDDI Explorer has been disabled.

 

好记忆不如烂笔头abc
关注
专栏目录
weblogic uddiexplorer漏洞解决方法
anhuixiaozi的专栏
04-12 2万+
weblogic uddiexplorer漏洞
How can you disable the UDDI and UDDI Explorer functionality in WebLogic Server? (Doc ID 1274906.1)
fendyzhou
05-08 1350
禁用weblogicUDDI组件 官方指导说明文档链接: https://support.oracle.com/epmos/faces/DocumentDisplay?_afrLoop=358755960149292&id=1274906.1&displayIndex=1&_afrWindowMode=0&_adf.ctrl-state=nkquf7dmn_61#FIX How
weblogic系列漏洞整理 ————5. weblogic SSRF 漏洞 UDDI Explorer对外开放 (CVE-2014-4210)
Fly_鹏程万里
11-01 3577
影响版本:10.0.2,10.3.6 SSRF漏洞,也称为XSPA(跨站端口攻击),问题存在于应用程序在加载用户提供的URL时,没能正确验证服务器的响应,然后就反馈回了客户端。攻击者可以利用该漏洞绕过访问限制(如防火墙),进而将受感染的服务器作为代理进行端口扫描,甚至访问系统中的数据。 利用过程 利用脚本 # !/usr/bin/env python # codin...
oracle weblogic uddi,Web中间件漏洞之WebLogic
weixin_31682031的博客
04-14 570
方法一:以修复的直接方法是将SearchPublicRegistries.jsp直接删除就好了;方法二:1)删除uddiexplorer文件夹2)限制uddiexplorer应用只能内网访问方法三:(常用)Weblogic服务端请求伪造漏洞出现在uddi组件(所以安装Weblogic时如果没有选择uddi组件那么就不会有该漏洞),更准确地说是uudi包实现包uddiexplorer.war下的Se...
oracle weblogic uddi,weblogic 安全漏洞问题解决
weixin_42465297的博客
04-14 763
1 weblogic控制台地址暴露 ²整改方法:禁用weblogic控制台。在weblogic域(sguap-domain和base-domain)的config下的config.xml中下面添加false。 禁用成功后如下图所示: 2.1.2存在Java反序列漏洞 ²整改方法:方法一、更新weblogic自带jar包。升级Apache Commons Collections的bug修复版...
weblogic uddiexplorer的漏洞
WOSHISUNXIANGFU的专栏
04-07 1万+
1)访问 http://*****:7008//uddiexplorer/SearchPublicRegistries.jsp?operator=http://127.0.0.1:22&rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Businesslocation&btnSubmit=Search 通过返
采用WebLogic UDDI客户端API示例.rar_UDDI_uddi weblogic_weblogic
09-14
【标题】"采用WebLogic UDDI客户端API示例"是指使用WebLogic服务器提供的UDDI(Universal Description, Discovery, and Integration,通用描述、发现和集成)客户端API进行应用程序开发的实例。UDDI是一种标准,它...
关于禁用weblogic wls-wsat组件的步骤说明
09-03
### 关于禁用WebLogic WLS-WSAT组件的步骤说明 #### 一、概述 在WebLogic服务器中,WLS-WSAT (Web Services Atomic Transactions) 组件可能存在某些安全漏洞,为了保护系统免受潜在攻击,可以通过禁用此组件的方式...
WebLogic SSRF And XSS检查利用工具.exe
08-11
非常简单方便/实用的WebLogic SSRF And XSS检查利用工具
采用WebLogic UDDI客户端API示例
08-30
采用WebLogic UDDI客户端API示例代码。 它运行于WebLogic server 7.0 GA(正式发行版) ,而不是测试版。请阅读包含文件readme.txt对 编译和运行示例代码的说明。
UDDI Explorer: Tool for searching web services
净心编程
01-13 1361
http://www.codeproject.com/cs/webservices/uddiexplorer.aspUDDI Explorer: Tool for searching web servicesBy Thanh Dao Tool for searching web service(s) and viewing their WSDL information. 
【渗透测试】Weblogic系列漏洞
weixin_53972936的博客
11-01 3583
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
Weblogic SSRF与任意文件读取漏洞
最新发布
m0_67284865的博客
07-05 405
Weblogic中存在一个SSRF漏洞,利用该漏洞可以发送任意HTTP请求,进而攻击内网中redis、fastcgi等脆弱组件。weblogic某些版本还存在任意文件读取。
记一次weblogic-10.3.6.0靶场漏洞利用
屿的博客
09-15 7611
输入 find ./ -name oracle_logo.gif(文件名)进入Vuln-Range的weblogic-10.3.6.0靶场。(去掉. 去掉图片文件名再自己起一个新的文件名 xx.jsp)进入最开始的/uddiexplorer/下的自命名木马.jsp。删掉端口后面多余字符,输入/uddiexplorer/打印出的工作目录和刚刚保存的gif文件路径拼接在一起。在weblogic工具里使用pwd打印工作目录。连接复制到weblogic的shell上传。找到的路径用记事本保存一下。
【Error】 启动Weblogic报错BEA-141281
civbl2961的博客
08-20 885
一、故障描述与分析 启动weblogic服务时报BEA-141281错误,上网查到原因是由于有进程未释放锁文件导致。 二、官方文档 BEA-141281 Inf...
linux下weblogic启动报错:BEA-149205
热门推荐
lnluo_21的专栏
03-01 2万+
错误内容如下:                       weblogic.application.ModuleException:  at weblogic.servlet.internal.WebAppModule.prepare(WebAppModule.java:
WebLogic WLS-wsat组件禁用修复步骤指南
本文档详细介绍了在WebLogic WLS组件存在漏洞的情况下,如何通过禁用wls-wsat组件来修补安全问题。针对WebLogic 10.3.6.0版本(以及其他兼容版本),文章提供了具体的步骤和注意事项,以确保在不影响系统正常运行的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值