關(guān)于Oracle WebLogic wls9-async組件存在反序列化遠程命令執(zhí)行漏洞的安全預(yù)警

一、概要

近日，華為云檢測到國家信息安全漏洞共享平臺（CNVD）發(fā)布的關(guān)于oracle WebLogic wls9-async組件存在反序列化遠程命令執(zhí)行漏洞的安全公告（CNVD-C-2019-48814），攻擊者利用該漏洞可以在未授權(quán)的情況下遠程執(zhí)行命令，風(fēng)險性高。截止目前，官方暫未發(fā)布針對該漏洞的修復(fù)補丁。

華為云提醒各位租戶及時安排自檢并做好安全加固。

參考鏈接：http://www.cnvd.org.cn/webinfo/show/4999

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急。）

三、影響范圍

oracle WebLogic Server 10.X

Oracle WebLogic Server 12.1.3

四、處置方案

目前，Oracle官方暫未發(fā)布修復(fù)補丁，請受影響的租戶參考以下任意一項臨時解決方案在不影響自身業(yè)務(wù)的情況下進行安全加固即可：

1. 查找并刪除wls9_async_response.war、 wls-wsat.war這兩個受影響組件，然后重啟Weblogic服務(wù)；

2. 通過訪問策略控制，禁止 /_async/* 及/wls-wsat/*路徑的URL訪問，目前華為云WAF的精準(zhǔn)訪問防護功能可防御該漏洞攻擊。

注：華為云將持續(xù)關(guān)注漏洞后續(xù)進展和官方補丁動態(tài)，請各位租戶留意。

通用安全

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內(nèi)刪除侵權(quán)內(nèi)容。

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內(nèi)刪除侵權(quán)內(nèi)容。