Oracle发布的WebLogic补丁重大漏洞 黑客可直接进入服务器

2018-05-0111:12:23 发表评论

安全研究人员表示WebLogic补丁可以被人绕过,并发布了概念证明代码。

Oracle发布的WebLogic补丁重大漏洞 黑客可直接进入服务器

本月早些时候,Oracle为其WebLogic服务器的一个严重漏洞打上了补丁,阿里巴巴安全研究人员徐元振认为,Oracle搞砸了补丁。

Oracle前阵子刚一口气发布了最近一个季度的补丁,整整254个,它们以Java和Spectre补丁为主,这个安全漏洞当时得到了修复。

修补列表中就有CVE-2018-2628(https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2628):

Oracle发布的WebLogic补丁重大漏洞 黑客可直接进入服务器

这个漏洞“很容易被利用”,因而让不法分子得以全面远程接管WebLogic服务器。

下面是相关漏洞演示视频:

阿里云的安全研究人员在Twitter发文并表明2018.4的关键补丁更新版可以轻松绕过”,同时还发布了概念证明(PoC),并发布了漏洞利用视频。

Oracle发布的WebLogic补丁重大漏洞 黑客可直接进入服务器

CVE-2018-2628  Weblogic服务器反序列化远程命令执行。不幸的是,2018.4的重要补丁更新版可以轻松绕过。

Oracle发布的WebLogic补丁重大漏洞 黑客可直接进入服务器

 

CE安全网

发表评论

您必须登录才能发表评论!