甲骨文緊急修補已遭濫用的WebLogic漏洞
科技
06-21
甲骨文在6月18日緊急修補了位於WebLogic Server的一個嚴重漏洞CVE-2019-2729,該漏洞允許黑客執行遠程程序攻擊,且已被開採,在總分10分的CVSS漏洞評分系統中高達9.8分,因而呼籲用戶儘快更新。
根據甲骨文的說明,這是WebLogic Server Web Services藉由XMLDecoder所造成的反串列化漏洞,允許未經身份認證的黑客自遠程利用並執行任意程序。
中國安全企業「知道創宇」(KnownSec)指出,他們已經分析並複製了該漏洞,顯示出該漏洞繞過了甲骨文日前針對CVE-2019–2725漏洞所進行的修補。CVE-2019–2725同樣也是存在於WebLogic Server的反串列漏洞,也是先遭到黑客開採後才緊急修補。
SANS網路風暴中心(SANS ISC)則說,甲骨文向來在修補這些反串列化漏洞時,都是採用黑名單作法,封鎖特定種類的反串列化,但這往往會形成貓捉老鼠的情況,使得這類的漏洞不斷出現。
該漏洞影響Oracle WebLogic Server 10.3.6.0.0、12.1.3.0.0與12.2.1.3.0版本。
※Google否認Chrome API變遷為了打擊廣告封鎖程序
※AI要比核武器還危險得多嗎?
TAG:十輪網 |