安全動態(tài)

漏洞預(yù)警 | WebLogic XMLDecoder反序列化漏洞(CVE-2017-10271)
來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2017-12-23    瀏覽次數(shù):
 

信息來源:FreeBuf

fmw_12_2_1_3_2.jpg

Oracle Fusion Middleware(Oracle融合中間件)是美國甲骨文(Oracle)公司的一套面向企業(yè)和云環(huán)境的業(yè)務(wù)創(chuàng)新平臺。該平臺提供了中間件、軟件集合等功能。Oracle WebLogic Server是其中的一個適用于云環(huán)境和傳統(tǒng)環(huán)境的應(yīng)用服務(wù)器組件。

漏洞編號

CVE-2017-10271

影響范圍

Oracle WebLogic Server 10.3.6.0.0版本

Oracle WebLogic Server 12.1.3.0.0版本

Oracle WebLogic Server 12.2.1.1.0版本

漏洞詳情

Oracle Fusion Middleware中的Oracle WebLogic Server組件的WLS Security子組件存在安全漏洞。使用精心構(gòu)造的xml數(shù)據(jù)可能造成任意代碼執(zhí)行,攻擊者只需要發(fā)送精心構(gòu)造的 HTTP 請求,就可以拿到目標(biāo)服務(wù)器

的權(quán)限。攻擊者可利用該漏洞控制組件,影響數(shù)據(jù)的可用性、保密性和完整性。

修復(fù)方案

1.    升級Oracle 10月份補丁

2.    對訪問wls-wsat的資源進行訪問控制

參考:

http://www.oracle.com/technetwork/security-advisory/cpuoct2017verbose-3236627.html

 
 

上一篇:Radware:對醫(yī)療行業(yè)而言,加密是一把雙刃劍

下一篇:2017年12月23日 聚銘安全速遞