CVE-2019-2725

Суть уязвимости

Уязвимость (десериализация в компоненте Web Services) позволяет удаленному злоумышленнику без аутентификации выполнить произвольный код на сервере, отправив специально сформированный HTTP-запрос на уязвимые конечные точки (например, /wls-wsat/CoordinatorPortType).

Как исправить

Установите официальный патч от Oracle. Критическое обновление выпущено во внеплановом патч-сете (Out-of-Patch).

1. Определите свою версию WebLogic: bash cd /путь/к/weblogic/bin . ./setWLSEnv.sh java weblogic.version

2. Установите соответствующий патч:

   • Для версий 10.3.6.0: Примените патч P28717256 (требуется наличие базового патч-сета).
   • Для версий 12.1.3.0: Примените патч P28717270.
   • Для версий 12.2.1.3: Примените патч P28717268.

   Скачайте патчи с Oracle Support и установите с помощью opatch: bash cd /путь/к/патчу $ORACLE_HOME/OPatch/opatch apply

3. Перезапустите все управляемые серверы и административный сервер.

Временное решение

Если немедленная установка патча невозможна, заблокируйте доступ к уязвимым компонентам.

1. Удалите или переименуйте пакеты Web Services Atomic Transaction (WS-AT): bash # Для домена WebLogic cd $DOMAIN_HOME mv wls-wsat wls-wsat.bak mv wls-wsat-клиент wls-wsat-клиент.bak ИЛИ удалите соответствующие .war архивы из каталогов autodeploy и servers.

2. Настройте правила в WAF/обратном прокси для блокировки всех запросов, содержащих пути:

   • /wls-wsat/
   • /_async/
   • /wsat/

3. Ограничьте сетевой доступ к портам WebLogic (обычно 7001, 7002) только для доверенных IP-адресов с помощью групповых политик (Windows Firewall) или iptables/nftables (Linux).