Weblogic的CVE-2019-2725漏洞描述与修复方案

　　漏洞描述：由于在反序列化处理输入信息的过程中存在缺陷，未经授权的攻击者可以发送精心构造的恶意HTTP请求，利用该漏洞获取服务器权限，实现远程代码执行。

　　修复建议：官方目前已发布针对此漏洞的紧急修复补丁，可以采取以下4种方式进行防护。

　　1)及时打上官方CVE-2019-2725补丁包

　　官方已于4月26日公布紧急补丁包

　　2)升级本地JDK版本

　　因为Weblogic所采用的是其安装文件中默认1.6版本的JDK文件，属于存在反序列化漏洞的JDK版本，因此升级到JDK7u21以上版本可以避免由于Java原生类反序列化漏洞造成的远程代码执行。

　　3)配置URL访问控制策略

　　部署于公网的 WebLogic服务器,可通过ACL禁止对l_async/及/wls-wsat/路径的访问。

　　4)删除不安全文件

　　删除 wls9_async_response.war与wls-wsat.war 文件及相关文件夹，并重启Weblogic 服务。

　　具体文件路径如下:10.3.*版本:Middlewarelwlserver_10.3\serverVlib\%DOMAIN_HOME%\servers\AdminServerltmpl_WL_internall%DOMAIN_HOME%\serversWAdminServerltmpl.internall12.1.3版本:Middleware\Oracle_Home\oracle_common\modules\%DOMAIN_HOME%\servers\AdminServer\tmpl.internal\%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\

　　注: wls9_async_response.war 及wls-wsat.war属于一级应用包，对其进行移除或更名操作可能造成未知的后果，Oracle官方不建议对其进行此类操作。若在直接删除此包的情况下应用出现问题，将无法得到Oracle 产品部门的技术支持。请用户自行进行影响评估，并对此文件进行备份后，再执行此操作。

　　更多关于网络安全培训的问题，欢迎咨询千锋教育在线名师。千锋教育拥有多年IT培训服务经验，采用全程面授高品质、高体验培养模式，拥有国内一体化教学管理及学员服务，助力更多学员实现高薪梦想。