Weblogic Java反序列化漏洞修复2

最新推荐文章于 2024-09-14 17:50:27 发布
最新推荐文章于 2024-09-14 17:50:27 发布
阅读量265 收藏
点赞数
文章标签: 数据库 java python
原文链接:https://my.oschina.net/u/2381604/blog/707854
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

漏洞描述 
 
简单来说序列化是将对象状态转换为可保持或传输的格式的过程(bytestream)。与序列化相对的是反序列化,它将流(bytestream)转换为对象。这两个过程结合起来,可以轻松地存储和传输数据  
平常状况下正常的数据流被反序列化的时候产生的是预期的正常的对象。但是当在进行反序列化的时候,被反序列化的数据是被经过恶意静心构造的,此时反序列化之后就会产生非预期的恶意对象。这个时候就可能引起任意代码执行。   
影响版本 
 
Oracle WebLogic服务器,版本10.3.6.0,12.1.2.0,12.1.3.0,12.2.1.0受到影响。 缓解建议在MOS注2076338.1是可用的,并将作为新的信息变得可用更新。 
Oracle WebLogic服务器的补丁正在创建。补丁可用性信息将在MOS注2075927.1更新   
官网描述 
 
This Security Alert addresses security issue CVE-2015-4852, a deserialization vulnerability involving Apache Commons and Oracle WebLogic Server. This is a remote code execution vulnerability and is remotely exploitable without authentication, i.e., may be exploited over a network without the need for a username and password.   
官方声明: 
http://www.oracle.com/technetwork/topics/security/alert-cve-2015-4852-2763333.html 
Weblogic 用户将收到官方的修复支持 
  


 var cpro_psid ="u2572954"; var cpro_pswidth =966; var cpro_psheight =120;

 
Oracle Fusion Middleware Risk Matrix 
 
CVE# Component 
Protocol 
Sub- component Remote Exploit without Auth.? CVSS VERSION 2.0 RISK (see Risk Matrix Definitions) 
Supported 
Versions Affected Notes 
Base Score Access Vector Access Complexity Authen- tication 
Confiden- tiality 
Integrity 
Avail- ability CVE-2015-4852 
Oracle WebLogic Server 
T3 WLS Security 
Yes 
7.5 
Network 
Low 
None Partial+ Partial

Partial+ 
10.3.6.0,  12.
1.2.0, 12.1.3.0, 12.2.1.0 
      
 
解决方法 
临时解决方案 
1 使用 SerialKiller 替换进行序列化操作的 ObjectInputStream 类;

 2 在不影响业务的情况下,临时删除掉项目里的 
“org/apache/commons/collections/functors/InvokerTransformer.class” 文件; 
官方解决方案: 
 p20780171_1036_Generic补丁 PATCH_ID - EJUW Patch number - 20780171 

 

转载于:https://my.oschina.net/u/2381604/blog/707854

weixin_33957648
关注
Weblogic 反序列化漏洞检查工具CVE-2017-10271.zip
07-09
Weblogic 反序列化漏洞检查工具CVE-2017-10271.zip
WebLogic 反序列化漏洞(CVE-2019-2890)
午夜安全
10-20 3322
WebLogic 反序列化漏洞(CVE-2019-2890) 漏洞描述 2019年10月15日,Oracle官方发布了2019年10月安全更新公告,其中包含了一个可造成RCE远程任意代码执行的高危漏洞漏洞编号为CVE-2019-2890。 Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic反序列化黑名单,使攻击者可以...
WebLogic漏洞复现(附带修复方法)_weblogic漏洞修复
最新发布
zzz6583zz的博客
09-14 994
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
Weblogic反序列化漏洞原理分析及漏洞复现(CVE-2018-2628/CVE-2023-21839复现)
rumil的博客
09-19 9238
WebLogic 存在远程代码执行漏洞(CVE-2023-21839/CNVD-2023-04389),由于Weblogic IIOP/T3协议存在缺陷,当IIOP/T3协议开启时,允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server漏洞利用成功WebLogic Server可能被攻击者接管执行任意命令导致服务器沦陷或者造成严重的敏感数据泄露。远程方法调用,除了该对象本身的虚拟机,其它的虚拟机也可以调用该对象的方法。
漏洞复现】1. WebLogic 反序列化漏洞(CVE-2019-2890)复现与分析
Zichel77的博客
03-21 1786
2019年10月15日,Oracle官方发布了2019年10月安全更新公告,其中包含了一个可造成RCE远程任意代码执行的高危漏洞漏洞编号为CVE-2019-2890。Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic反序列化黑名单,使攻击者可以通过T3协议对存在漏洞Weblogic组件实施远程攻击。
漏洞复现:Weblogic IIOP协议反序列化
HCIEMAYU的博客
07-17 386
WebLogicOracle推出的application server,是Web应用系统必不可少的组件,其具有支持EJB、JSP、JMS、XML等多种语言、可扩展性强、快速开发等多种特性。3、进入下载好的jar目录/home/kali/downloads/下,执行java -jar weblogic_exploit-1.0-SNAPSHOT-all.jar打开图形化工具。2、在Weblogic控制台中,选择“环境”->“服务器”->”AdminServer”->”协议”,取消“启用IIOP”的勾选。
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全...及时的漏洞检查和修复是防止此类攻击的关键步骤,而"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271"这样的工具为安全管理人员提供了有力的辅助手段。
Java反序列化漏洞利用工具.zip
04-10
标题"Java反序列化漏洞利用工具.zip"表明该压缩包内包含了针对Java反序列化漏洞的利用工具,特别提到了针对JBOSS和WebLogic两个流行的Java应用服务器。JBOSS和WebLogic都是企业级的应用服务器,广泛用于部署各种业务...
Java反序列化漏洞探析及其修复方法研究.pdf
07-02
本文通过具体实例详细描述了利用Java反序列化漏洞进行服务器主机系统提权的详细步骤,并提出了多种漏洞修复方法,以期对电网信息系统的正常稳定运行提供保障。提出的修复方法包括但不限于:应用白名单技术来限制可反...
weblogic10.3.6补丁(java反序列化漏洞更新步骤).docx
09-10
WebLogic 10.3.6 补丁是一种安全补丁,旨在修复 Java 反序列化漏洞,该漏洞可能会导致 WebLogic 服务器遭受远程攻击。下面是 WebLogic 10.3.6 补丁的更新步骤: 1. 漏洞描述 近日,Apache Commons Collections 等...
java反序列化漏洞修复_【修复总结】JAVA反序列化
weixin_36413157的博客
03-08 2840
威胁说明如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。问题原因类ObjectInputStream在反序列化时,没有对生成的对象的输入做限制,使攻击者利用反射调用函数进行任意命令执行。CommonsCollections组件中对于集合的操作存在可以进行反射调用的方法问题根源Ap...
java反序列化漏洞利用工具WebLogicExploit
01-14
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
Weblogic Unserialization GetShll&CMD;
03-27
安全渗透中使用,对weblogic中序列化漏洞的测试,可以对weblogic中执行cmd命令,直接获取服务器信息,此工具可以测试漏洞
WebLogic_EXP.jar WebLogic反序列化利用工具
10-31
WebLogic_EXP.jar WebLogic反序列化利用工具下载,作者rebyond。 使用环境 JDK1.8
weblogic 序列化漏洞测试及破解方式
11-30
CommonsCollectionsTools.jar weblogic 序列化 漏洞测试 破解方式
weblogic cmd命令漏洞检测
04-08
weblogic中cmd反序列号漏洞检测,必须要求是java8的环境启动,也可以选择对jboos的漏洞,对安全测评来说,比较重要,可以复现漏洞
【技术推荐】WebLogic 反序列化漏洞深入分析
m0_73257876的博客
09-25 3213
WebLogic 漏洞存在较多的反序列化类和反序列化的途径,在使用黑名单防御手段下,攻击者只要找到新的反序列化触发点,就能造成新的危害。比如,你有一个类 A,类里面有个属性是类 B,这个时候,在反序列化的过程中,就会先反序列化类 A,之后在填充类 A 的过程中,继续反序列化类 B,类 B 在反序列化完成后,填充到类 A 中,同时整个过程都在一个流中操作,这个时候,只要还是 ObjectOutStream 的 read_value进行反序列化操作就不能饶过黑名单!
vulfocus[weblogic反序列化]
qq_44122254的博客
02-18 3781
名称: vulfocus/weblogic-cve_2017_10271:latest 描述: Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle WebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。 Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,
WebLogic 10.3.6 反序列化漏洞补丁安装指南
在网络安全领域,反序列化漏洞是一种常见的攻击手段,攻击者可以通过恶意构造的序列化对象来触发服务器的不安全行为,可能导致远程代码执行、信息泄露等严重后果。WebLogic,作为Oracle公司的一款企业级应用服务器,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值