1.简介
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
2.漏洞详情
(1)漏洞原理
反序列化是指特定语言中将传递的对象序列化数据重新恢复为实例对象的过程,而在这个过程中会执行一系列的字节流解析和对象实例化操作用于恢复之前序列化时的对象。在原博文所提到的那些 Java 应用里都有特定的接口用于传递序列化对象数据,而在反序列化时并没有限制实例化对象的类型,导致可以任意构造应用中已经包含的对象利用反序列化操作进行实例化。
Java 在进行反序列化操作的时候会使用 ObjectInputStream 类调用 readObject() 方法去读取传递过来的序列化对象字节流进行处理,要想利用反序列化过程进行攻击,就必须构造出一个能够自动执行的代码调用链。而议题《Marshalling Pickles》中巧好就使用 Apache Commons Collections 库构造出了一个能够在反序列化操作时能够自动执行命令的调用链。具体构造详情可参考原议题PPT。
(2)漏洞影响
ZoomEye 对全球开放 7001 端口的二百万 IP 进行了检测,其中有 5419 个目标确认存在风险。
影响版本:
(3)关联漏洞链接
JBoss “Java 反序列化”过程远程命令执行漏洞 https://www.sebug.net/vuldb/ssvid-89723
Jenkins “Java 反序列化”过程远程命令执行漏洞 https://www.sebug.net/vuldb/ssvid-89725
WebSphere “Java 反序列化”过程远程命令执行漏洞 https://www.sebug.net/vuldb/ssvid-89727
常见 Java Web 容器通用远程命令执行漏洞 https://www.sebug.net/vuldb/ssvid-89713
3.参考链接
(2)https://access.redhat.com/solutions/2045023
(3)http://d.hatena.ne.jp/Kango/touch/20151110/1447175137?from=singlemessage&isappinstalled=0
2020年09月17日,IBM发布安全公告,WebSphere Application Server中存在一个安全漏洞,该漏洞是由于WebSphere Application Server在处理XML数据时容易受到XML外部实体注入(XXE)攻击。
2020年9月22日,FastAdmin远程代码执行漏洞细节曝光,黑客登录前台会员中心,即可远程GetShell,风险极大。
2020年9月17日,VMware发布安全公告,在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和较旧的不受支持的版本中,发现了一个存在于Spring Framework中的反射型文件下载(Reflected File Download,RFD)漏洞(CVE-2020-5421)。
获取安全动态