等保门户网: 测评整改

【安全预警】WebLogic远程命令执行漏洞(CVE-2017-10271)

来源:admin 发布日期:2018-01-02

·        

     漏洞描述:
CVE-2017-12071Oracle WebLogicWLS 组件的最新的远程代码执行漏洞,官方在 2017 年 10 月份发布了该漏洞的补丁,由于没有公开细节,大量企业尚未及时安装补丁,导致被控制用户量逐渐增加。
该漏洞的利用方法较为简单,攻击者只需要发送精心构造的 HTTP 请求,就可以拿到目标服务器的权限,危害巨大,被进一步利用下载和运行挖矿程序watch-smartd,消耗服务器大量内存和CPU资源。由于漏洞较新,目前仍然存在很多主机尚未更新相关补丁。
·         影响版本
  Oracle Weblogic Server 10.3.6 0.0 
   Oracle Weblogic Server 12.2.1.1.0
   Oracle Weblogic Server 12.2.1.2.0
   Oracle Weblogic Server 12.1.3.0.0
·         修复建议:
1、由于Oracle WebLogic的使用面较为广泛,攻击面涉及各个行业,攻击者可利用该漏洞同时攻击WindowsLinux主机,并在目标中长期潜伏,如果您的WebLogic服务暂未受影响,建议您及时安装Oracle官方最新补丁,避免被攻击者利用;
2、如果您已经受影响,您可以采取如下临时处理措施降低损失:
  1)由于该挖矿程序利用WebLogic wls-wsat组件远程命令执行漏洞进行感染,建议您根据实际环境路径,删除WebLogic程序下的war包及相关目录:
rm -f /安装目录/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war
rm -f /安装目录/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war
rm -rf /安装目录/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat
 2)重启WebLogic或系统后,判断是否可访问链接:http://x.x.x.x:7001/wls-wsat,若无法访问,则说明删除成功。

【关闭】 【打印】

您是第 4645667 位访问者
沪ICP备 12039260号 京公安网备 11010802025578号
版权所有 公安部网络安全保卫局 地址:北京市长安街14号 邮编:100741