發布日期: 2019年 4月 23日
最後更新: 2019年 4月 29日
保安研究員發現於 Oracle WebLogic Server 內 wls9_async 及 wls-wsat 元件中的一個遠端執行程式碼漏洞。遠端攻擊者可傳送特製的 HTTP 請求從而攻擊這個漏洞。
有報告指針對漏洞的概念驗證程式碼已被公開。用家應立即為受影響的系統安裝修補程式,以免增加受到網絡攻擊的風險。對於在外判平台的系統,系統擁有人應與網站託管服務供應商確認是否已經安裝相關的修補程式。
成功攻擊這個漏洞可導致在受影響的系統上遠端執行程式碼。
Oracle 發行了受影響產品的修補程式以應對以上問題。用戶可從以下網址下載:
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html
受影響系統的用戶應遵從產品供應商的建議,立即採取行動以降低風險。
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html
https://www.hkcert.org/my_url/zh/alert/19042603
https://www.us-cert.gov/ncas/current-activity/2019/04/26/Oracle-Releases-Security-Alert
http://www.cnvd.org.cn/webinfo/show/4999
https://medium.com/@knownseczoomeye/knownsec-404-team-oracle-weblogic-deserialization-rce-vulnerability-0day-alert-90dd9a79ae93