甲骨文發(fā)布安全警報(bào)，WebLogic 服務(wù)器發(fā)現(xiàn)關(guān)鍵漏洞

安全人員在甲骨文 WebLogic 服務(wù)器(WLS)中發(fā)現(xiàn)了一個新的可遠(yuǎn)程利用的©洞。該©洞編號 CVE-2019-2725 ，其無需用戶身份驗(yàn)證即可被遠(yuǎn)程利用，且 CVSS 評分達(dá) 9.3 分(滿分 10 分)，是一個關(guān)鍵©洞。

甲骨文發(fā)布了一個 安全警報(bào) ，指出受此©洞影響的服務(wù)器版本包括 10.3.6.0 和 12.1.3.0。這個©洞很容易被利用，黑色產(chǎn)業(yè)已經(jīng)有很多攻擊者用它來植入 勒索程序 ， 挖礦程序 及其它惡意程序。甲骨文“強(qiáng)烈建議客戶盡快應(yīng)用更新”。

此©洞的主要缺陷在于對反序列化的 XML 數(shù)據(jù)的驗(yàn)證不充分。通過特制的 SOAP 請求，攻擊者可以在服務(wù)器上獲得完整的代碼執(zhí)行權(quán)限。

具體而言，該©洞存在于 /_async/AsyncResponseService 端點(diǎn)上的 WLS 的異步組件中。此端點(diǎn)是用于處理異步請求——響應(yīng)功能的內(nèi)部端點(diǎn)。

當(dāng) AsyncResponseService 端點(diǎn)收到請求時，它會遍歷 handler 列表，從而允許ÿ個 handler 都有機(jī)會處理請求。一個名為 WorkAreaServerHandler 的特殊 handler 會用到 WorkContextXmlInputAdapter，后者又用到 XMLDecoder，這里就是©洞的源頭了。

XMLDecoder 本質(zhì)上與用來接收 Serializable 對象的 ObjectInputStream 非常相似，區(qū)別在于 XMLDecoder 使用 XML 格式而非二進(jìn)制格式來描述序列化對象。如果û有合適干凈的輸入內(nèi)容，任何 Java 對象都可以被反序列化。

不幸的是，這個©洞并不是 WebLogic 或 Java 的第一個©洞。2017 年，WebLogic 報(bào)告了一個類似的©洞( CVE-2017-10271 )。反序列化©洞在 Java 中很常見，正如 InfoQ 文章《 Java 序列化的狀態(tài) 》中所提到的一樣。為了阻止這類©洞，Java 9 引入了 JEP-290 。

甲骨文建議立即使用修補(bǔ)程序解決此問題。其它非官方的建議有：阻止訪問所有的 /_async/* 地址，或刪除 WAR 文件以及同異步功能相關(guān)的所有文件。