甲骨文在6月18日紧急修补了位于WebLogic Server的一个严重漏洞CVE-2019-2729,该漏洞允许黑客执行远端程序攻击,且已被开采,在总分10分的CVSS漏洞评分系统中高达9.8分,因而呼吁用户尽快更新。
根据甲骨文的说明,这是WebLogic Server Web Services藉由XMLDecoder所造成的反串行化漏洞,允许未经身份认证的黑客自远端利用并执行任意程序。
中国安全业者"知道创宇"(KnownSec)指出,他们已经分析并复制了此一漏洞,显示出该漏洞绕过了甲骨文日前针对CVE-2019–2725漏洞所进行的修补。CVE-2019–2725同样也是存在于WebLogic Server的反序列漏洞,亦是先遭到黑客开采后才紧急修补。
SANS网络风暴中心(SANS ISC)则说,甲骨文向来在修补这些反串行化漏洞时,都是采用黑名单作法,阻止特定种类的反串行化,但这往往会形成猫捉老鼠的情况,使得这类的漏洞不断出现。
此一漏洞影响Oracle WebLogic Server 10.3.6.0.0、12.1.3.0.0与12.2.1.3.0版本。
涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。