Oracle WebLogic Server远程代码执行漏洞(CVE-2017-10271)
发布日期:2017-12-19
更新日期:2017-12-31
受影响系统:
Oracle WebLogic Server 12.2.1.1
Oracle WebLogic Server 12.1.3.0
Oracle WebLogic Server 10.3.6.0
不受影响系统:
Oracle WebLogic Server 12.1.3.0描述:
BUGTRAQ ID: 101304
CVE(CAN) ID: CVE-2017-10271
WebLogic是J2EE应用服务器,目前已推出到12c版。
不同版本WebLogic主机均被植入了相同的恶意程序,该程序会消耗大量的主机CPU资源。经分析,攻击者针对WebLogic WLS组件中存在的CVE-2017-10271远程代码执行漏洞,构造请求对运行的WebLogic中间件主机进行攻击,由于该漏洞利用方式简单,且能够直接获取目标服务器的控制权限,影响范围较广,近期发现此漏洞的利用方式为传播虚拟币挖矿程序,不排除会被黑客用于其他目的的攻击。
<*来源:Alexey Tyurin
Federico Dotta
*>
建议:
临时解决方法:
根据攻击者利用POC分析发现所利用的为wls-wsat组件的CoordinatorPortType接口,若Weblogic服务器集群中未应用此组件,建议临时备份后将此组件删除,当形成防护能力后,再进行恢复。
1.根据实际环境路径,删除WebLogic wls-wsat组件:
rm -f
/home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war
rm -f
/home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war
rm -rf
/home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat
2.重启Weblogic域控制器服务。
DOMAIN_NAME/bin/stopWeblogic.sh #停止服务
DOMAIN_NAME/bin/startManagedWebLogic.sh #启动服务
关于重启Weblogic服务的详细信息,可参考如下官方文档:
https://docs.oracle.com/cd/E13222_01/wls/docs90/server_start/overview.html
厂商补丁:
Oracle
------
Oracle官方对于WebLogic WLS 组件漏洞(CVE-2017-10271)在10月份的更新补丁中已经进行了修复,建议及时下载更新包,并升级WebLogic。升级过程可参考如下链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11937