信息來(lái)源：FreeBuf

Oracle Fusion Middleware（Oracle融合中間件）是美國(guó)甲骨文（Oracle）公司的一套面向企業(yè)和云環(huán)境的業(yè)務(wù)創(chuàng)新平臺(tái)。該平臺(tái)提供了中間件、軟件集合等功能。Oracle WebLogic Server是其中的一個(gè)適用于云環(huán)境和傳統(tǒng)環(huán)境的應(yīng)用服務(wù)器組件。

漏洞編號(hào)

CVE-2017-10271

影響范圍

Oracle WebLogic Server 10.3.6.0.0版本

Oracle WebLogic Server 12.1.3.0.0版本

Oracle WebLogic Server 12.2.1.1.0版本

漏洞詳情

Oracle Fusion Middleware中的Oracle WebLogic Server組件的WLS Security子組件存在安全漏洞。使用精心構(gòu)造的xml數(shù)據(jù)可能造成任意代碼執(zhí)行，攻擊者只需要發(fā)送精心構(gòu)造的 HTTP 請(qǐng)求，就可以拿到目標(biāo)服務(wù)器

的權(quán)限。攻擊者可利用該漏洞控制組件，影響數(shù)據(jù)的可用性、保密性和完整性。

修復(fù)方案

1.    升級(jí)Oracle 10月份補(bǔ)丁

2.    對(duì)訪問(wèn)wls-wsat的資源進(jìn)行訪問(wèn)控制

參考：

http://www.oracle.com/technetwork/security-advisory/cpuoct2017verbose-3236627.html