Oracle将WebLogic 补丁搞砸了!黑客可接管服务器

Posted 黑白之道

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Oracle将WebLogic 补丁搞砸了!黑客可接管服务器相关的知识,希望对你有一定的参考价值。


Oracle将WebLogic 补丁搞砸了!黑客可接管服务器

安全研究人员表示WebLogic补丁可以被人绕过,并发布了概念证明代码。

 

本月早些时候,Oracle为其WebLogic服务器的一个严重漏洞打上了补丁,阿里巴巴安全研究人员徐元振认为,Oracle搞砸了补丁。


Oracle前阵子刚一口气发布了最近一个季度的补丁,整整254个,它们以Java和Spectre补丁为主,这个安全漏洞当时得到了修复。


修补列表中就有CVE-2018-2628(https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2628):


Oracle将WebLogic 补丁搞砸了!黑客可接管服务器


这个漏洞“很容易被利用”,因而让不法分子得以全面远程接管WebLogic服务器。



周末,帐号为@pyn3rd(Twitter的简历只显示“阿里云的安全研究人员,正好是云头条微信好友,已核实),的用户发推文称,“2018.4的关键补丁更新版可以轻松绕过”,同时还发布了概念证明(PoC)GIF。


Oracle将WebLogic 补丁搞砸了!黑客可接管服务器


#CVE-2018-2628  Weblogic服务器反序列化远程命令执行。不幸的是,2018.4的重要补丁更新版可以轻松绕过。


Oracle将WebLogic 补丁搞砸了!黑客可接管服务器


怎么会是这样?同样是来自@pyn3rd的推文:


Oracle将WebLogic 补丁搞砸了!黑客可接管服务器


有区别,就使用<java.rmi.activation.Activator> 取代<java.rmi.registry.Registry>


凯文•博蒙特(Kevin Beaumont,帐号为@GossiTheDog)作了进一步的阐述,他写道:“看起来Oracle甚至没有解决这个问题,它只是将一些命令列入黑名单。这种情况下,它没有注意到下一个命令。”


文章出处:云头条

你可能喜欢


以上是关于Oracle将WebLogic 补丁搞砸了!黑客可接管服务器的主要内容,如果未能解决你的问题,请参考以下文章

QScrollArea 搞砸了 QGridLayout:QGridLayout 隐藏并且没有滚动

weblogic补丁升级

Weblogic补丁升级操作步骤

部分标题标题搞砸了

Json双引号搞砸了C#

Oracle WebLogic中间件最新漏洞修复补丁以及修复方案说明(2019.7)