Oracle webLogic反序列化RCE 0day漏洞CVE-2019-272(CVE-2019-2725绕过)补丁下载

0x00:漏洞情况

6月12日甲骨文宣布了一个新的oracle webLogic反序列化RCE 0day漏洞,漏洞编号:CVE-2019-2729,oracle团队分析并重现了0day漏洞,该漏洞基于并绕过了CVE-2019-2725的补丁。

   0x01: 漏洞介绍

问题CVE-2019-2729,它通过Oracle WebLogic Server Web服务中的XMLDecoder进行反序列化。
这与4月修补的CVE-2019-2725相同,在过去的攻击中用于提供Sodinokibi勒索软件和加密货币矿工,它也包含在最近发现的Echobot僵尸网络漏洞包中。

   Oracle官方公告:https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html

   受影响版本:

Affected
Products and Versions
Patch
Availability Document
Oracle WebLogic Server, versions
10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0
Fusion Middleware

0x02:修复建议

推荐:1、安装oracle的官方补丁。

2、临时解决方案如下:

方案1、配置URL访问策略。通过访问控制策略禁止对/_async/*及/wls-wsat/*路径的访问。

方案2、删除不安全文件。删除wls9_async_response.war与wls-wsat.war文件及相关文件夹,并重启Weblogic服务。

(推荐)方案3、 官方已于4月26日公布紧急补丁包,下载地址如下https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html?from=timeline

已下载到百度网盘链接:https://pan.baidu.com/s/1G0eSK_MqbLFdFG9x0AQq7Q
提取码:ecie
复制这段内容后打开百度网盘手机App,操作更方便哦

方案4、升级本地JDK版本

因为Weblogic所采用的是其安装文件中默认1.6版本的JDK文件,属于存在反序列化漏洞的JDK版本,因此升级到JDK7u21以上版本可以避免由于Java原生类反序列化漏洞造成的远程代码执行。

注意:

wls9_async_response.war及wls-wsat.war属于一级应用包,对其进行移除或更名操作可能造成未知的后果,Oracle官方不建议对其进行此类操作。若在直接删除此包的情况下应用出现问题,将无法得到Oracle产品部门的技术支持。请用户进行影响评估,并对此文件进行备份后,再执行此操作。

0x03:参考链接

【威胁通告】Oracle Weblogic 远程代码执行漏洞(CVE-2019-2725)补丁绕过:http://blog.nsfocus.net/cve-2019-2725/

Weblogic反序列化远程代码执行漏洞(CVE-2019-2725)分析报告: https://www.freebuf.com/articles/web/202203.html

点赞