Oracle WebLogic Server远程代码执行漏洞(CVE

Oracle WebLogic Server远程代码执行漏洞(CVE-2017-10271)


发布日期:2017-12-19
更新日期:2017-12-31

受影响系统:

Oracle WebLogic Server 12.2.1.2.0
Oracle WebLogic Server 12.2.1.1
Oracle WebLogic Server 12.1.3.0
Oracle WebLogic Server 10.3.6.0

不受影响系统:

Oracle WebLogic Server 12.1.3.0

描述:

BUGTRAQ  ID: 101304
CVE(CAN) ID: CVE-2017-10271

WebLogic是J2EE应用服务器,目前已推出到12c版。

不同版本WebLogic主机均被植入了相同的恶意程序,该程序会消耗大量的主机CPU资源。经分析,攻击者针对WebLogic WLS组件中存在的CVE-2017-10271远程代码执行漏洞,构造请求对运行的WebLogic中间件主机进行攻击,由于该漏洞利用方式简单,且能够直接获取目标服务器的控制权限,影响范围较广,近期发现此漏洞的利用方式为传播虚拟币挖矿程序,不排除会被黑客用于其他目的的攻击。

<*来源:Alexey Tyurin
        Federico Dotta
  *>

建议:

临时解决方法:

根据攻击者利用POC分析发现所利用的为wls-wsat组件的CoordinatorPortType接口,若Weblogic服务器集群中未应用此组件,建议临时备份后将此组件删除,当形成防护能力后,再进行恢复。
1.根据实际环境路径,删除WebLogic wls-wsat组件:
rm -f 
/home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war
rm -f 
/home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war
rm -rf
/home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat
2.重启Weblogic域控制器服务。
DOMAIN_NAME/bin/stopWeblogic.sh      #停止服务
DOMAIN_NAME/bin/startManagedWebLogic.sh    #启动服务
关于重启Weblogic服务的详细信息,可参考如下官方文档:
https://docs.oracle.com/cd/E13222_01/wls/docs90/server_start/overview.html

厂商补丁:

Oracle
------
Oracle官方对于WebLogic WLS 组件漏洞(CVE-2017-10271)在10月份的更新补丁中已经进行了修复,建议及时下载更新包,并升级WebLogic。升级过程可参考如下链接:



https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11937

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/ec47ba6b72d7d2922a89d2144c36ccbd.html