oracle 序列_Oracle WebLogic最新高危反序列化漏洞修复方法

最新推荐文章于 2021-06-25 10:10:40 发布
最新推荐文章于 2021-06-25 10:10:40 发布
阅读量377 收藏
点赞数
文章标签: oracle 序列 shiro反序列化漏洞修复

漏洞说明

在 WebLogic 里,InboundMsgAbbrev中的resolveProxyClass是可以对rmi的类型进行处理的,但是只简单判断了java.rmi.registry.Registry,为攻击者提供了绕过黑名单的机会,攻击者可以通过使用其他的rmi来绕过Weblogic的黑名单限制。除此之外,java远程方法协议会序列化一个RemoteObjectInvocationHandler,它会利用UnicastRef和远端建立tcp连接,并获取RMI registry,再将加载的内容利用readObject解析,从而造成反序列化远程代码执行。

目前相关PoC已经公开,漏洞验证如下图:

882b2beaf1d3ae21f88d85d14c4cff81.png

影响范围


通过QUAKE资产系统检索,全球范围内暴露在互联网上的weblogic服务多达11125台,中国区有2690台。

f3a287ff96fb53d60da279d50382a3a1.png

受影响版本


Oracle WebLogic Server10.3.6.0

Oracle WebLogic Server12.2.1.2

Oracle WebLogic Server12.2.1.3

Oracle WebLogic Server12.1.3.0

风险等级

严重级别

修复方法

官方修复方法:

Oracle官方已经在今天的关键补丁更新(CPU)中修复了该漏洞,强烈建议受影响的用户尽快升级更新进行防护。

注:Oracle官方补丁需要用户持有正版软件的许可账号,使用该账号登陆https://support.oracle.com后,可以下载最新补丁。http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html

由于大部分用户还在使用weblogic 11g 中的 10.3.6版本 ,为此针对此版本,我们编写了一份weblogic反序列化的漏洞修复方案。方案及补丁见云盘地址:

链接:https://pan.baidu.com/s/1BNKnaLDwMIGmQWStRCrOcA
密码:d7qn

临时修复方法:

临时解决办法是可通过控制T3协议的访问来临时阻断针对该漏洞的攻击。WebLogic Server 提供了名为 weblogic.security.net.ConnectionFilterImpl 的默认连接筛选器,此连接筛选器接受所有传入连接,可通过此连接筛选器配置规则,对t3及t3s协议进行访问控制。但由于t3及t3s协议有经常在项目中使用,阻断t3协议将会给应用带来影响,目前官方已经出来补丁,不建议使用临时的修复方法。

weixin_39782573
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
javaRMI反序列化漏洞验证工具
08-21
检测javaRMI反序列化漏洞
weblogic反序列化全版本漏洞利用工具
06-27
weblogic反序列化全版本漏洞利用工具,可执行命令
rmi反序列化导致rce漏洞修复_RMI反序列化漏洞分析
weixin_39710249的博客
12-23 442
RMI简介首先看一下RMI在wikipedia上的描述:Java远程方法调用,即JavaRMI(JavaRemote MethodInvocation)是Java编程语言里,一种用于实现远程过程调用的应用程序编程接口。它使客户机上运行的程序可以调用远程服务器上的对象。远程方法调用特性使Java编程人员能够在网络环境中分布操作。RMI全部的宗旨就是尽可能简化远程接口对象的使用。JavaRMI极大地依...
java rmi反序列化安全漏洞问题解决方案
limingdepoxiao的博客
06-25 2250
解决方案 1、关闭javarmi服务的端口在公网的开放; 2、下载SerialKiller临时补丁,这个jar后放置于classpath,将应用代码中的java.io.ObjectInputStream替换为SerialKiller,之后配置让其能够允许或禁用一些存在问题的类,SerialKiller有Hot-Reload,Whitelisting,Blacklisting几个特性,控制了外部输入反序列化后的可信类型 例如:采用下载SerialKiller补丁,将IDoc2PdfUtilServic.
自检代码中trustmanager漏洞_Fasterxml Jacksondatabind漏洞分析与利用
weixin_39640767的博客
11-22 751
一、 Fasterxml Jackson-databind组件介绍FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的组件。Jackson-databind可以将Java对象转换成json对象,同样也可以将json转换成Java对象。二、各版本介绍Fasterxml的jackson...
rmi反序列化导致rce漏洞修复_Laravel Cookie Security漏洞分析
weixin_29056145的博客
12-25 324
前言Laravel发布安全更新,其中指出使用cookie session driver的应用受到漏洞影响,该漏洞会导致rce。https://blog.laravel.com/laravel-cookie-security-releases影响版本:Regarding the vulnerability, applications using the "cookie" session d...
GUANLIXITONG.rar_WEBLOGIC oracle_java oracle_oracle_weblogic
09-23
公司为管理人员的java源程序,WEBLOGIC+ORACLE
oracle weblogic 反序列化补丁安装步骤
12-19
oracle 反序列化补丁安装步骤 ,最新补丁的安装方法
Weblogic全版本反序列化漏洞利用工具.jar
07-03
Weblogic全版本反序列化漏洞利用工具.jar
weblogic10.3.6反序列化补丁包
06-22
weblogic10.3.6.0反序列化补丁包,p20780171_1036_Generic (2).zip补丁包和p22248372_1036012_Generic.zip升级包,要先安装升级包在安装补丁包
RmiJdbc3.3.zip
02-23
access远程数据连接jdbc驱动,rmijDBC
RMI反序列化漏洞分析
蚁景网安学院
08-15 444
RMI简介首先看一下RMI在wikipedia上的描述:Java远程方法调用,即JavaRMI(JavaRemote MethodInvocation)是Java编程语言里,一种用于实现...
c++获取一段代码的执行时间_Apache IoTDB 远程代码执行漏洞CVE20201952
weixin_39830303的博客
11-27 176
Apache IoTDB 0.9.0-0.9.1版本和0.8.0-0.8.2版本存在远程代码执行漏洞漏洞是由于上述Apache IoTDB版本默认在31999端口开启RMI服务,并且没有做任何过滤,攻击者利用该漏洞可以导致远程代码执行。漏洞名称:Apache IoTDB远程代码执行漏洞CVE-2020-1952威胁等级:高危影响范围:Apache IoTDB 0.8.0-0.8.2Ap...
java rmi解决的问题
weixin_33889245的博客
05-29 134
两个jvm之间的通信。RMI全称是RemoteMethodInvocation-远程方法调用。定义服务端(spring demo):<beanclass="org.springframework.remoting.rmi.RmiServiceExporter"><!--doesnotnecessarilyhavetobethesame...
rmi反序列化导致rce漏洞修复_烽火狼烟丨Apache Dubbo反序列化漏洞(CVE201917564)漏洞分析...
weixin_31414515的博客
12-30 304
点击上方“盛邦安全WebRAY”可以订阅漏洞描述Apache Dubbo是一款高性能、轻量级的开源java Rpc分布式服务框架。Dubbo提供面向接口的远程过程调用、集群容错和负载均衡、服务自动注册与发现这三大主要功能。(Apache Dubbo详细介绍:http://dubbo.apache.org/en-us/index.html)当Apache Dubbo启用HTTP协议之后,攻...
oracle向解析,安装RAC配置DNS后,向解析失败
weixin_26776943的博客
04-07 216
安装RAC配置DNS后,向解析失败,折腾了半天,不知道是啥原因!求高手指点啊。named.conf配置如下:[root@rac01 ~]# cat /var/named/chroot/etc/named.confoptions {directory "/var/named";};zone "oracle.com" IN {type master;file "oracle.com....
oracle关闭向dns解析,安装RAC配置DNS后,向解析失败
weixin_36480510的博客
04-06 437
安装RAC配置DNS后,向解析失败,折腾了半天,不知道是啥原因!求高手指点啊。named.conf配置如下:[root@rac01 ~]# cat /var/named/chroot/etc/named.confoptions {directory "/var/named";};zone "oracle.com" IN {type master;file "oracle.com....
Weblogic安全部署
weixin_52669473的博客
12-04 125
创建用户和用户组 配置JDK 1.8.x 开始安装 创建weblogic域 生产模式下启动取消密码输入 启动weblogic 访问
Java RMI 框架(远程方法调用)
limeOracle的博客
06-09 70
RMI(即RemoteMethodInvoke远程方法调用)。在Java中,只要一个类extends了java.rmi.Remote接口,即可成为存在于服务器端的远程对象,供客户端访问并提供一定的服务。JavaDoc描述:Remote接口用于标识其方法可以从非本地虚拟机上调用的接口。任何远程对象都必须直接或间接实现此接口。只有在“远程接口”(扩展java.rmi.Remote...
weblogic t3/iiop反序列化工具
最新发布
10-17
WebLogic T3/IIOP反序列化工具是一种用于利用WebLogic T3协议和IIOP协议进行反序列化攻击的工具。在WebLogic Server中,T3协议是用于客户端和服务器之间进行通信的协议,而IIOP协议是一种用于分布式对象通信的协议。 这个工具可以被黑客用来利用WebLogic Server中的安全漏洞,通过发送恶意的序列化数据包来实现远程代码执行。这种攻击利用了Java反序列化漏洞,是一种非常危险的攻击方式,可能导致服务器被完全控制。 WebLogic T3/IIOP反序列化工具一般包括两个主要组件:Payload生成器和Payload发送器。Payload生成器用于创建恶意的序列化数据包,而Payload发送器则负责将生成的数据包发送到目标服务器。 为了保护WebLogic Server免受此类攻击,建议采取以下措施: 1. 及时更新WebLogic Server到最新版本,修复已知的安全漏洞。 2. 规范代码开发和部署,避免使用不受信任的第三方库或组件。 3. 配置严格的访问控制策略,限制访问WebLogic Server的IP地址和端口。 4. 限制用户权限,避免赋予不必要的权限。 5. 监控WebLogic Server日志,及时检测异常活动和攻击。 6. 避免在生产环境中使用默认的管理员凭据,使用强密码,并定期更换密码。 总之,WebLogic T3/IIOP反序列化工具是一种非常危险的工具,可以被黑客用来攻击WebLogic Server。为了保护服务器安全,建议采取一系列措施来防止此类攻击的发生。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值