统一服务热线:(023) 65928280

通告及预警

当前位置: 首页 >> 网络安全 >> 通告及预警 >> 正文

WebLogic 反序列化 CVE-2019-2890漏洞预警

时间:2019-10-18来源:点击:

一、漏洞简介

WebLogic是Oracle公司出品的基于JavaEE架构的中间件,用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用。Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic的反序列化黑名单,使攻击者可以通过T3协议对存在漏洞的Weblogic组件实施远程攻击。由于T3协议在Weblogic控制台开启的情况下默认开启,而Weblogic默认安装会自动开启控制台,因此攻击者可通过此漏洞造成远程代码执行,以控制Weblogic服务器。官方目前已经发布安全补丁对此漏洞进行修复。该漏洞被分配漏洞编号CVE-2019-2890。

二、风险等级

风险评级:高危

三、影响范围

WebLogic Server 10.3.6.0、WebLogic Server 12.1.3.0

WebLogic Server 12.2.1.3

四、 安全建议

(一)升级补丁:Oracle官方更新链接地址https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html

(二)如果不依赖T3协议进行JVM通信,禁用T3协议。

五、参考链接

https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html

上一条:微软核心加密库安全漏洞预警 下一条:泛微 OA系统WorkflowCenterTreeData接口SQL注入漏洞预警

关闭

地址:重庆电子大奖娱乐游戏介绍职业学院南校区
教学楼一栋 1213、1214、1215办公室
统一服务热线:(023)65928265
版权所有?2019- 重庆电子大奖娱乐游戏介绍职业学院 · 图文信息中心(信息管理服务中心)