java反序列化漏洞修复_Weblogic Java反序列化漏洞修复2

最新推荐文章于 2024-08-03 07:15:00 发布
最新推荐文章于 2024-08-03 07:15:00 发布
阅读量210 收藏
点赞数
文章标签: java反序列化漏洞修复
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36356040/article/details/115086547
版权

漏洞描述

简单来说序列化是将对象状态转换为可保持或传输的格式的过程(bytestream)。与序列化相对的是反序列化,它将流(bytestream)转换为对象。这两个过程结合起来,可以轻松地存储和传输数据

平常状况下正常的数据流被反序列化的时候产生的是预期的正常的对象。但是当在进行反序列化的时候,被反序列化的数据是被经过恶意静心构造的,此时反序列化之后就会产生非预期的恶意对象。这个时候就可能引起任意代码执行。

影响版本

Oracle WebLogic服务器,版本10.3.6.0,12.1.2.0,12.1.3.0,12.2.1.0受到影响。 缓解建议在MOS注2076338.1是可用的,并将作为新的信息变得可用更新。

Oracle WebLogic服务器的补丁正在创建。补丁可用性信息将在MOS注2075927.1更新

官网描述

This Security Alert addresses security issue CVE-2015-4852, a deserialization vulnerability involving Apache Commons and Oracle WebLogic Server. This is a remote code execution vulnerability and is remotely exploitable without authentication, i.e., may be exploited over a network without the need for a username and password.

官方声明:

http://www.oracle.com/technetwork/topics/security/alert-cve-2015-4852-2763333.html

Weblogic 用户将收到官方的修复支持

var cpro_psid ="u2572954"; var cpro_pswidth =966; var cpro_psheight =120;

Oracle Fusion Middleware Risk Matrix

CVE# Component

Protocol

Sub- component Remote Exploit without Auth.? CVSS VERSION 2.0 RISK (see Risk Matrix Definitions)

Supported

Versions Affected Notes

Base Score Access Vector Access Complexity Authen- tication

Confiden- tiality

Integrity

Avail- ability CVE-2015-4852

Oracle WebLogic Server

T3 WLS Security

Yes

7.5

Network

Low

None Partial+ Partial

+

Partial+

10.3.6.0,  12.

1.2.0, 12.1.3.0, 12.2.1.0

解决方法

临时解决方案

1 使用 SerialKiller 替换进行序列化操作的 ObjectInputStream 类;

2 在不影响业务的情况下,临时删除掉项目里的

“org/apache/commons/collections/functors/InvokerTransformer.class” 文件;

官方解决方案:

p20780171_1036_Generic补丁 PATCH_ID - EJUW Patch number - 20780171

第四张牌
关注
java反序列化漏洞修复_【修复总结】JAVA反序列化
weixin_36413157的博客
03-08 2805
威胁说明如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。问题原因类ObjectInputStream在反序列化时,没有对生成的对象的输入做限制,使攻击者利用反射调用函数进行任意命令执行。CommonsCollections组件中对于集合的操作存在可以进行反射调用的方法问题根源Ap...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全...及时的漏洞检查和修复是防止此类攻击的关键步骤,而"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271"这样的工具为安全管理人员提供了有力的辅助手段。
Java反序列化漏洞修复
Dove_Knowledge的博客
10-27 1837
1、jar包反编译(JD-GUI) 2、反编译后的进行代码审核,看是否有前端payload中的数据直接反序列化(如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。) 3、修复方案 (1)重写 ObjectInputStream#resolveClass 方法resolveClass 会在 readObject 前自动触发,我们可以通过重写 resolveClass 来读取类名,判断使
Java中的反序列化漏洞及其防护措施
最新发布
微赚淘客开发者博客
08-03 309
反序列化漏洞是由不安全的对象反序列化引起的,攻击者可以通过精心构造的恶意数据流进行攻击,导致远程代码执行和其他安全问题。反序列化漏洞Java应用中常见且严重的安全问题,但通过避免从不可信来源反序列化数据、使用白名单、选择更安全的序列化机制以及保持系统和库的更新,可以有效地防范这些漏洞。此过程看似安全,但如果反序列化数据流是由不可信源提供的,就会引发反序列化漏洞。攻击者可以创建一个恶意的序列化对象,并在反序列化时触发漏洞。保持Java版本和依赖库的更新,及时应用安全补丁,修复已知的反序列化漏洞
java代码审计之浅谈Java反序列化漏洞修复方案
liguangyao213的博客
02-19 4118
java代码审计系统课程--代码审计视频教程-信息安全-CSDN程序员研修院少写“漏洞” 了解常见代码安全 提升代码安全能力 代码不被黑客黑-https://edu.csdn.net/course/detail/32634 概述 序列化是让 Java 对象脱离 Java 运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。 Java程序使用ObjectInputStream对象的readObject方法将反序列化数据转换为java对象。但当输入的反序列化的数据可被用户控制,那么攻击者即
【代码扫描修复】不安全的反序列化攻击(高危)_java反序列化漏洞修复
2401_84302369的博客
05-02 964
将内存对象转化为可以存储以及传输的二进制字节、xml、json、yaml 等格式。将虚化列存储的二进制字节、xml、json、yaml 等格式的信息重新还原转化为对象实例。数据格式序列化后的信息样例二进制在这里插入图片描述xmljsonyaml!/\*\*\* 白名单校验\*/super(in);@Override// 白名单校验if (!使用示例:Test.java/\*\*\* 序列化\*/try {/\*\*\* 反序列化
JAVA反序列化漏洞修复解决方法
05-05 2982
MyObject类建立了Serializable模块,而且重新写过了readObject()变量,仅有建立了Serializable模块的类的目标才能够被实例化,沒有建立此模块的类将无法使他们的任意状态被实例化或逆实例化。这儿的readObject()方法的功能是以1个源键入流中载入字节数编码序列,再把他们反序列化为1个目标,并将其回到,readObject()是能够重新写过的,因而能够订制反序...
java反序列化漏洞的成因,JAVA反序列化漏洞解决办法
weixin_32098487的博客
03-21 463
一、漏洞描述:近期,反序列化任意代码执行漏洞持续发酵,越来越多的系统被爆出存在此漏洞。Apache Commons工具集广泛应用于JAVA技术平台,存在Apache Commons Components InvokerTransformer反序列化任意代码执行漏洞WebLogic、IBM WebSphere、JBoss、Jenkins和OpenNMS等应用都大量调用了Commons工具集,通过...
Java反序列化漏洞利用工具.zip
04-10
标题"Java反序列化漏洞利用工具.zip"表明该压缩包内包含了针对Java反序列化漏洞的利用工具,特别提到了针对JBOSS和WebLogic两个流行的Java应用服务器。JBOSS和WebLogic都是企业级的应用服务器,广泛用于部署各种业务...
java反序列化漏洞利用工具WebLogicExploit_weblogic图形化漏洞利用工具
09-01
WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布...
Java反序列化漏洞探析及其修复方法研究.pdf
07-02
直到2015年11月,安全团队FoxGlove Security的成员详细介绍了如何利用反序列化漏洞攻击最新版本的JBoss、WebLogic、WebSphere和OpenNMS等主流基于Java架构的中间件和框架,实现远程任意代码执行、获取网站服务器控制...
weblogicJAVA反序列化漏洞修改方法
04-28
windows版weblogicJAVA反序列化漏洞修改方法,亲测
系统漏洞安装(java反序列化补丁漏洞
03-29
java反序列化补丁安装步骤,用于系统weblogic漏洞安装及oracle漏洞安装
Oracle+Weblogic+Server+Java反序列化漏洞 解决方案
04-20
Oracle+Weblogic+Server+Java反序列化漏洞 解决方案 Oracle+Weblogic+Server+Java反序列化漏洞 解决方案
Java序列化反序列化原理及漏洞解决方案
08-18
主要介绍了Java序列化反序列化原理及漏洞解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Java反序列化漏洞利用及修复 示例代码
白帽子凯哥哥的博客
01-03 724
Java反序列化漏洞发生在当应用程序或服务反序列化了恶意构造的或篡改的数据时。Java序列化是一个将对象转换为字节流的过程,以便可以将其写入磁盘、数据库或通过网络传输。反序列化则是将这些字节流重新构造成原始对象的过程。
java 反序列化漏洞检测及修复
dianxuequ6825的博客
04-19 207
Jboss、Websphere和weblogic反序列化漏洞已经出来一段时间了,还是有很多服务器没有解决这个漏洞反序列化漏洞原理参考:JAVA反序列化漏洞完整过程分析与调试 这里参考了网上的 Java反序列化工具 - Java Deserialization Exp Tools ,来检测weblogic服务器反序列化漏洞; 该工具可以检测weblogic、jboss、web...
JAVA反序列化漏洞解决办法
weixin_30426957的博客
02-18 284
一、漏洞描述: 近期,反序列化任意代码执行漏洞持续发酵,越来越多的系统被爆出存在此漏洞。Apache Commons工具集广泛应用于JAVA技术平台,存在Apache Commons Components InvokerTransformer反序列化任意代码执行漏洞WebLogic、IBM WebSphere、JBoss、Jenkins和OpenNMS等应用都大量调用了Common...
Java反序列化漏洞的发现和修复
VioletHan7的博客
11-13 401
http://admin.code2sec.com/ji-yi-ci-javafan-xu-lie-hua-lou-dong-de-fa-xian-he-xiu-fu.html
修复Java反序列化漏洞Weblogic 10.3.6补丁更新指南
"weblogic10.3.6补丁更新是针对Java反序列化漏洞修复过程,涉及Apache Commons Collections库,该漏洞允许攻击者远程执行操作系统命令,影响包括WebLogic在内的多个主流中间件。Oracle官方提供了补丁下载,补丁...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值