• <code id="mqsuy"><sup id="mqsuy"></sup></code>
  • <code id="mqsuy"></code>
  • <strong id="mqsuy"></strong>
  • <optgroup id="mqsuy"><blockquote id="mqsuy"></blockquote></optgroup>
  • 2019

    06/17

    05:33

    來源:
    CNNVD安全動態

    微信

    新浪

    CNNVD 關于Oracle WebLogic Server遠程代碼執行漏洞的通報

      近日,國家信息安全漏洞庫(CNNVD)收到關于Oracle WebLogic Server遠程代碼執行漏洞(CNNVD-201906-596)情況的報送。攻擊者可利用該漏洞在未授權的情況下發送攻擊數據,實現任意代碼執行。該漏洞是由于Oracle一個歷史漏洞(CNNVD-201904-961)修補不完善導致。CNNVD已于2019年4月23日發布了該漏洞預警,盡管4月26日Oracle發布了補丁,但近日發現該漏洞仍可被新的攻擊方式利用。Oracle WebLogic Server 10.3.6.0、12.1.3.0等版本均受漏洞影響。目前, Oracle官方暫未發布該漏洞補丁,但可以通過臨時修補措施緩解漏洞帶來的危害,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。

      一、漏洞介紹

      Oracle WebLogic Server是美國甲骨文(Oracle)公司開發的一款適用于云環境和傳統環境的應用服務中間件,它提供了一個現代輕型開發平臺,支持應用從開發到生產的整個生命周期管理,并簡化了應用的部署和管理。

      2019年4月26日,Oracle官方發布了Oracle WebLogic Server遠程代碼執行漏洞(CNNVD-201904-961)的修復補丁,但是在同年6月16日,國家信息安全漏洞庫(CNNVD)收到了該漏洞補丁被繞過并利用的情況報送,攻擊者可以在未經授權的情況下,遠程發送HTTP請求,最終實現遠程代碼的執行。

      二、危害影響

      攻擊者可利用漏洞在未授權的情況下遠程發送攻擊數據,最終實現遠程代碼執行。Oracle WebLogic Server 10.3.6.0、12.1.3.0等版本均受漏洞影響。

      三、修復建議

      目前, Oracle官方暫未發布該漏洞補丁,但可以通過臨時修補措施緩解漏洞帶來的危害,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。

      1、通過訪問策略控制禁止 /_async/* 及 /wls-wsat/* 路徑的URL訪問,此操作可能會造成業務系統無法正常使用,可通過白名單機制允許授權用戶訪問。

      2、在明確不使用wls-wsat.war和bea_wls9_async_response.war的情況下, 建議直接刪除該組件并重啟WebLogic服務器。

      3、建議使用WebLogic Server構建網站的信息系統運營者進行自查,發現存在漏洞后,按照臨時解決方案及時進行修復。

      本通報由CNNVD技術支撐單位——知道創宇404實驗室提供支持。

      CNNVD將繼續跟蹤上述漏洞的相關情況,及時發布相關信息。如有需要,可與CNNVD聯系。

      聯系方式: [email protected]

    CNNVD 關于Oracle WebLogic Server遠程代碼執行漏洞的通報

    2019 17:33來源:CNNVD安全動態

      近日,國家信息安全漏洞庫(CNNVD)收到關于Oracle WebLogic Server遠程代碼執行漏洞(CNNVD-201906-596)情況的報送。攻擊者可利用該漏洞在未授權的情況下發送攻擊數據,實現任意代碼執行。該漏洞是由于Oracle一個歷史漏洞(CNNVD-201904-961)修補不完善導致。CNNVD已于2019年4月23日發布了該漏洞預警,盡管4月26日Oracle發布了補丁,但近日發現該漏洞仍可被新的攻擊方式利用。Oracle WebLogic Server 10.3.6.0、12.1.3.0等版本均受漏洞影響。目前, Oracle官方暫未發布該漏洞補丁,但可以通過臨時修補措施緩解漏洞帶來的危害,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。

      一、漏洞介紹

      Oracle WebLogic Server是美國甲骨文(Oracle)公司開發的一款適用于云環境和傳統環境的應用服務中間件,它提供了一個現代輕型開發平臺,支持應用從開發到生產的整個生命周期管理,并簡化了應用的部署和管理。

      2019年4月26日,Oracle官方發布了Oracle WebLogic Server遠程代碼執行漏洞(CNNVD-201904-961)的修復補丁,但是在同年6月16日,國家信息安全漏洞庫(CNNVD)收到了該漏洞補丁被繞過并利用的情況報送,攻擊者可以在未經授權的情況下,遠程發送HTTP請求,最終實現遠程代碼的執行。

      二、危害影響

      攻擊者可利用漏洞在未授權的情況下遠程發送攻擊數據,最終實現遠程代碼執行。Oracle WebLogic Server 10.3.6.0、12.1.3.0等版本均受漏洞影響。

      三、修復建議

      目前, Oracle官方暫未發布該漏洞補丁,但可以通過臨時修補措施緩解漏洞帶來的危害,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。

      1、通過訪問策略控制禁止 /_async/* 及 /wls-wsat/* 路徑的URL訪問,此操作可能會造成業務系統無法正常使用,可通過白名單機制允許授權用戶訪問。

      2、在明確不使用wls-wsat.war和bea_wls9_async_response.war的情況下, 建議直接刪除該組件并重啟WebLogic服務器。

      3、建議使用WebLogic Server構建網站的信息系統運營者進行自查,發現存在漏洞后,按照臨時解決方案及時進行修復。

      本通報由CNNVD技術支撐單位——知道創宇404實驗室提供支持。

      CNNVD將繼續跟蹤上述漏洞的相關情況,及時發布相關信息。如有需要,可與CNNVD聯系。

      聯系方式: [email protected]

    為你推薦

    工業和信息化部點名:這些金融APP非法收

    日前,工業和信息化部發布了2019年第一季度電信服務質量通告。通告顯示,多款金融APP存在非法收集個人信息問題,工業和信息化部表示已對違規軟件進行下架處理,并責令企業整改。

    關于WebSphere存在遠程代碼執行漏洞的安

    關于WebSphere存在遠程代碼執行漏洞的安全公告。

    關于致遠OA-A8系統存在遠程命令執行漏洞

    關于致遠OA-A8系統存在遠程命令執行漏洞的安全公告。

    bet平台 五骑士送彩金 韦斯卡vs巴萨 卡昂沙发18h大约多少钱 彩票网站 qq欢乐升级作弊 白蛇传送彩金 怎么查询股票风险测评 企鹅假期登陆 ag电子竞技俱乐部报名 天天酷跑坐骑