Oracle发布季度补丁更新 修复远程代码执行漏洞

电子说

1.3w人已加入

描述

2018年7月18日,美国甲骨文(Oracle)公司官方发布了季度补丁更新,其中修复了一个 Oracle WebLogic Server 远程代码执行漏洞 CVE-2018-2893,此漏洞是对编号为 CVE-2018-2628 修复的绕过,攻击者同样可以在未身份验证的情况下对 WebLogic 进行攻击。

影响范围

通过远程代码执行漏洞 CVE-2018-2893,攻击者可以在未授权的情况下远程执行代码。攻击者只需要发送精心构造的T3协议数据,就可以获取目标服务器的权限。攻击者可利用该漏洞控制组件,影响数据的可用性、保密性和完整性。该漏洞的影响范围如下:

Oracle WebLogic Server 10.3.6.0

Oracle WebLogic Server 12.1.3.0

Oracle WebLogic Server 12.2.1.2

Oracle WebLogic Server 12.2.1.3

以上均为官方支持的版本。

关于Oracle WebLogic Server

Oracle FusionMiddleware(Oracle 融合中间件)是甲骨文公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle 的 WebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。

漏洞CVE-2018-2628

WebLogic Server 使用 T3 协议在 WebLogic Server 和客户端间传输数据和通信,由于 WebLogic 的 T3 协议和 Web 协议使用相同的端口,导致在默认情况下,WebLogic Server T3 协议通信和 Web 端具有相同的访问权限。易受攻击的 WebLogic 服务允许未经身份验证的攻击者通过 T3 网络访问及破坏Oracle WebLogic Server。此漏洞的成功攻击可能导致攻击者接管 Oracle WebLogic Server,造成远程代码执行。

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分