你好,游客 登录 注册 搜索
背景:
阅读新闻

Oracle WebLogic Server远程代码执行漏洞(CVE-2017-10271)

[日期:2017-12-31] 来源:Linux社区  作者:Linux [字体: ]
Oracle WebLogic Server远程代码执行漏洞(CVE-2017-10271)


发布日期:2017-12-19
更新日期:2017-12-31

受影响系统:

Oracle WebLogic Server 12.2.1.2.0
Oracle WebLogic Server 12.2.1.1
Oracle WebLogic Server 12.1.3.0
Oracle WebLogic Server 10.3.6.0

不受影响系统:

Oracle WebLogic Server 12.1.3.0

描述:


BUGTRAQ  ID: 101304
CVE(CAN) ID: CVE-2017-10271

WebLogic是J2EE应用服务器,目前已推出到12c版。

不同版本WebLogic主机均被植入了相同的恶意程序,该程序会消耗大量的主机CPU资源。经分析,攻击者针对WebLogic WLS组件中存在的CVE-2017-10271远程代码执行漏洞,构造请求对运行的WebLogic中间件主机进行攻击,由于该漏洞利用方式简单,且能够直接获取目标服务器的控制权限,影响范围较广,近期发现此漏洞的利用方式为传播虚拟币挖矿程序,不排除会被黑客用于其他目的的攻击。

<*来源:Alexey Tyurin
        Federico Dotta
  *>

建议:


临时解决方法:

根据攻击者利用POC分析发现所利用的为wls-wsat组件的CoordinatorPortType接口,若Weblogic服务器集群中未应用此组件,建议临时备份后将此组件删除,当形成防护能力后,再进行恢复。
1.根据实际环境路径,删除WebLogic wls-wsat组件:
rm -f 
/home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war
rm -f 
/home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war
rm -rf
/home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat
2.重启Weblogic域控制器服务。
DOMAIN_NAME/bin/stopWeblogic.sh      #停止服务
DOMAIN_NAME/bin/startManagedWebLogic.sh    #启动服务
关于重启Weblogic服务的详细信息,可参考如下官方文档:
https://docs.oracle.com/cd/E13222_01/wls/docs90/server_start/overview.html

厂商补丁:

Oracle
------
Oracle官方对于WebLogic WLS 组件漏洞(CVE-2017-10271)在10月份的更新补丁中已经进行了修复,建议及时下载更新包,并升级WebLogic。升级过程可参考如下链接:

http://blog.csdn.net/qqlifu/article/details/49423839

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11937

http://www.securitytracker.com/id/1039972

本文永久更新链接地址http://www.linuxidc.com/Linux/2017-12/149984.htm

linux
相关资讯       Oracle WebLogic 
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款