甲骨文在6月18日緊急修補了位於WebLogic Server的一個嚴重漏洞CVE-2019-2729,該漏洞允許駭客執行遠端程式攻擊,且已被開採,在總分10分的CVSS漏洞評分系統中高達9.8分,因而呼籲用戶儘快更新。

根據甲骨文的說明,這是WebLogic Server Web Services藉由XMLDecoder所造成的反序列化漏洞,允許未經身分認證的駭客自遠端利用並執行任意程式。

中國資安業者「知道創宇」(KnownSec)指出,他們已經分析並複製了此一漏洞,顯示出該漏洞繞過了甲骨文日前針對CVE-2019–2725漏洞所進行的修補。CVE-2019–2725同樣也是存在於WebLogic Server的反序列漏洞,亦是先遭到駭客開採後才緊急修補。

SANS網路風暴中心(SANS ISC)則說,甲骨文向來在修補這些反序列化漏洞時,都是採用黑名單作法,封鎖特定種類的反序列化,但這往往會形成貓捉老鼠的情況,使得這類的漏洞不斷出現。

此一漏洞影響Oracle WebLogic Server 10.3.6.0.0、12.1.3.0.0與12.2.1.3.0版本。


Advertisement

更多 iThome相關內容