服务热线: 0371-65995777

关于Oracle WebLogic wls9-async组件存在反序列化远程命令执行漏洞的安全预警

文章来源 : 大数据云      发布时间 : 2019/4/26

一、概要

近日,大数据IDC检测到国家信息安全漏洞共享平台(CNVD)发布的关于Oracle WebLogic wls9-async组件存在反序列化远程命令执行漏洞的安全公告(CNVD-C-2019-48814),攻击者利用该漏洞可以在未授权的情况下远程执行命令,风险性高。截止目前,官方暂未发布针对该漏洞的修复补丁。

大数据IDC提醒各位租户及时安排自检并做好安全加固。

参考链接:http://www.cnvd.org.cn/webinfo/show/4999

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急。)

三、影响范围

Oracle WebLogic Server 10.X

Oracle WebLogic Server 12.1.3

四、处置方案

目前,Oracle官方暂未发布修复补丁,请受影响的租户参考以下任意一项临时解决方案在不影响自身业务的情况下进行安全加固即可:

1. 查找并删除wls9_async_response.war wls-wsat.war这两个受影响组件,然后重启Weblogic服务;

2. 通过访问策略控制,禁止 /_async/* /wls-wsat/*路径的URL访问。

注:大数据IDC将持续关注漏洞后续进展和官方补丁动态,请各位租户留意。

上一条:关于调整非经营性互联网信息服务备案编号规则的通知 下一条:网站内容设计,建立优质内容池的4个方法