0x00：漏洞情况

6月12日甲骨文宣布了一个新的oracle webLogic反序列化RCE 0day漏洞，漏洞编号：CVE-2019-2729，oracle团队分析并重现了0day漏洞，该漏洞基于并绕过了CVE-2019-2725的补丁。

   0x01： 漏洞介绍

问题CVE-2019-2729，它通过Oracle WebLogic Server Web服务中的XMLDecoder进行反序列化。
这与4月修补的CVE-2019-2725相同，在过去的攻击中用于提供Sodinokibi勒索软件和加密货币矿工，它也包含在最近发现的Echobot僵尸网络漏洞包中。

   Oracle官方公告：https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2729-5570780.html

   受影响版本：

Affected Products and Versions	Patch Availability Document
Oracle WebLogic Server, versions 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0	Fusion Middleware

0x02：修复建议

推荐：1、安装oracle的官方补丁。

2、临时解决方案如下：

方案1、配置URL访问策略。通过访问控制策略禁止对/_async/*及/wls-wsat/*路径的访问。

方案2、删除不安全文件。删除wls9_async_response.war与wls-wsat.war文件及相关文件夹，并重启Weblogic服务。

（推荐）方案3、 官方已于4月26日公布紧急补丁包，下载地址如下：https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html?from=timeline

已下载到百度网盘链接：https://pan.baidu.com/s/1G0eSK_MqbLFdFG9x0AQq7Q
提取码：ecie
复制这段内容后打开百度网盘手机App，操作更方便哦

方案4、升级本地JDK版本

因为Weblogic所采用的是其安装文件中默认1.6版本的JDK文件，属于存在反序列化漏洞的JDK版本，因此升级到JDK7u21以上版本可以避免由于Java原生类反序列化漏洞造成的远程代码执行。

注意：

wls9_async_response.war及wls-wsat.war属于一级应用包，对其进行移除或更名操作可能造成未知的后果，Oracle官方不建议对其进行此类操作。若在直接删除此包的情况下应用出现问题，将无法得到Oracle产品部门的技术支持。请用户进行影响评估，并对此文件进行备份后，再执行此操作。

0x03：参考链接

【威胁通告】Oracle Weblogic 远程代码执行漏洞（CVE-2019-2725）补丁绕过:http://blog.nsfocus.net/cve-2019-2725/

Weblogic反序列化远程代码执行漏洞（CVE-2019-2725）分析报告: https://www.freebuf.com/articles/web/202203.html