无码一区二区三区,亚洲精品久久久久久一区二区,好吊视频一区二区三区,亚洲精品一区中文字幕乱码

官方公告

了解金山云最新公告

公告 > 安全公告 > 【風(fēng)險(xiǎn)通告】WebLogic XXE漏洞
【風(fēng)險(xiǎn)通告】WebLogic XXE漏洞

2021-01-04 00:00:00

1月4日,金山云安全應(yīng)急響應(yīng)中心監(jiān)測到Oracle WebLogic Server存在 XXE漏洞。該漏洞影響廣泛且危害較大,官方暫未發(fā)布修復(fù)補(bǔ)丁,建議受影響的用戶盡快采取暫緩措施,避免遭受惡意攻擊。



風(fēng)險(xiǎn)等級


高危



漏洞描述


WebLogic Server存在XXE漏洞,攻擊者可以在未授權(quán)情況下對目標(biāo)系統(tǒng)發(fā)起XML外部實(shí)體注入攻擊。成功觸發(fā)該漏洞需要目標(biāo)開啟T3或IIOP協(xié)議,目標(biāo)接收到攻擊者惡意構(gòu)造的數(shù)據(jù)進(jìn)行反序列化,觸發(fā)loadxml,服務(wù)器遠(yuǎn)程加載惡意dtd文件并解析,造成XML外部實(shí)體注入,且成功利用需要目標(biāo)出網(wǎng)。



影響版本


WebLogic多個(gè)版本:

10.3.6.0.0

12.1.3.0.0

12.2.1.3.0

12.2.1.4.0

14.1.1.0.0



修復(fù)建議


1. 若業(yè)務(wù)環(huán)境允許,使用白名單限制相關(guān)web項(xiàng)目的訪問來降低風(fēng)險(xiǎn)。

2. 禁用T3、IIOP協(xié)議;



參考鏈接


[1] https://mp.weixin.qq.com/s/o4Lky3aD74CChDuCxw3ZJA




北京金山云網(wǎng)絡(luò)技術(shù)有限公司

2021/01/04


潜江市| 宁国市| 阳信县| 临朐县| 连山| 吉首市| 柘城县| 大厂| 怀安县| 新晃| 永定县| 哈巴河县| 潮安县| 吴桥县| 广州市| 光泽县| 汶上县| 如皋市| 乳山市| 黄冈市| 金阳县| 惠来县| 张北县| 福清市| 永年县| 甘孜县| 肃宁县| 招远市| 唐海县| 富川| 北票市| 涟源市| 封开县| 潢川县| 呼和浩特市| 陆丰市| 靖安县| 辉南县| 崇州市| 平山县| 保山市|