Oracle WebLogic Server远程代码执行漏洞(CVE-2017-10271)

Oracle WebLogic Server远程代码执行漏洞(CVE-2017-10271)

发布日期:2017-12-19

更新日期:2017-12-31

受影响系统:

Oracle WebLogic Server 12.2.1.2.0

Oracle WebLogic Server 12.2.1.1

Oracle WebLogic Server 12.1.3.0

Oracle WebLogic Server 10.3.6.0

不受影响系统:

Oracle WebLogic Server 12.1.3.0

描述:

BUGTRAQ ID: 101304

CVE(CAN) ID: CVE-2017-10271

WebLogic是J2EE应用服务器,目前已推出到12c版。

不同版本WebLogic主机均被植入了相同的恶意程序,该程序会消耗大量的主机CPU资源。经分析,攻击者针对WebLogic WLS组件中存在的CVE-2017-10271远程代码执行漏洞,构造请求对运行的WebLogic中间件主机进行攻击,由于该漏洞利用方式简单,且能够直接获取目标服务器的控制权限,影响范围较广,近期发现此漏洞的利用方式为传播虚拟币挖矿程序,不排除会被黑客用于其他目的的攻击。

<*来源:Alexey Tyurin

Federico Dotta

*>

建议:

临时解决方法:

根据攻击者利用POC分析发现所利用的为wls-wsat组件的CoordinatorPortType接口,若Weblogic服务器集群中未应用此组件,建议临时备份后将此组件删除,当形成防护能力后,再进行恢复。

1.根据实际环境路径,删除WebLogic wls-wsat组件:

rm -f

/home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war

rm -f

/home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war

rm -rf

/home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat

2.重启Weblogic域控制器服务。

DOMAIN_NAME/bin/stopWeblogic.sh #停止服务

DOMAIN_NAME/bin/startManagedWebLogic.sh #启动服务

关于重启Weblogic服务的详细信息,可参考如下官方文档:

https://docs.oracle.com/cd/E13222_01/wls/docs90/server_start/overview.html

厂商补丁:

Oracle

——

Oracle官方对于WebLogic WLS 组件漏洞(CVE-2017-10271)在10月份的更新补丁中已经进行了修复,建议及时下载更新包,并升级WebLogic。升级过程可参考如下链接:

http://blog.csdn.net/qqlifu/article/details/49423839

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11937

http://www.securitytracker.com/id/1039972


本文永久更新链接地址

http://www.linuxidc.com/Linux/2017-12/149984.htm

Linux公社稿源:Linux公社 (源链) | 关于 | 阅读提示

本站遵循[CC BY-NC-SA 4.0]。如您有版权、意见投诉等问题,请通过eMail联系我们处理。
酷辣虫 » 综合编程 » Oracle WebLogic Server远程代码执行漏洞(CVE-2017-10271)

喜欢 (0)or分享给?

专业 x 专注 x 聚合 x 分享 CC BY-NC-SA 4.0

使用声明 | 英豪名录