脸谱网 Google + 推特 LinkedIn YouTube RSS 菜单 搜索 资源——博客 资源-网络研讨会 资源-报告 资源-事件 icons_066 icons_067 icons_068 icons_069 icons_070

(R1) Oracle WebLogic Server Web容器子组件反映PartItem远程代码执行文件处理

至关重要的

剧情简介

2016年7月21日,ZDI甲骨文并协调释放cve - 2016 - 3499 /zdi - 16 - 444。ZDI的顾问表示,“PartItem类WebLogic FileUpload允许远程攻击者编写任意文件通过NULL字节……如果结合甲骨文Java的一个特定的版本。它还允许攻击者将任何文件复制到不同的位置。“对于那些熟悉Java反序列化的最近的旋转攻击,这听起来非常类似于Apache Commons类的描述DiskFileItem攻击cve - 2013 - 2186(零字节攻击)和cve - 2016 - 1000031(创建、复制和删除文件)。

WebLogic 12.2.1.1的快速分析PartItem(在WebLogic的发现com.oracle.weblogic.servlet.jar)透露,显然是基于Apache的DiskFileItem代码。他们都是松散的包装DeferredFileOutputStreamreadObject/writeObject功能是相同的。不过,最有趣的是,甲骨文只是部分固定的cve - 2016 - 3499。Oracle添加检查readObject函数库中寻找一个NULL字节字符串(这是复制和粘贴代码DiskFileItem在FileUpload 1.3.2)。顺便说一句,零字节文件袭击以来一直“固定”Java 7更新402013年9月发布。任何发生的零字节文件()调用会导致异常。

然而,甲骨文没有修复的能力一个未经身份验证的远程攻击者使用序列化的创建和删除文件PartItem。这种攻击是相当有名的同时拥有发表的站得住脚的Ysoserial。我们验证了这个测试对WebLogic 12.2.1.1与Java 8更新102安装。

序列化一个PartItem

它起初可能并不明显PartItem是可序列化的。而PartItem被宣布为“公共类PartItem实现Serializable的部分“它包含non-serializable类成员多部分。如果我们只是尝试序列化PartItem然后我们会得到一个后构建对象NotSerializeableException这可能会导致一些研究人员放弃。然而,我们可以使用反射来设置多部分之前我们序列化对象。下面是用于创建一个序列化的代码PartItem在反序列化,将编写一个文件C:\Users\Public\内容”保存龙虾!”:

多部分议员= new多部分(请求,“做”,80年,80年,999999年);PartItem测试= new PartItem (mp,零,“不是”,“吃”,假的,“龙虾”);反射。setFieldValue(测试中,“库”,新文件(“C: \ \ \ \用户公共\ \ "));反射。setFieldValue(测试,1024年“sizeThreshold”);反射。setFieldValue(测试、“cachedContent”新的字符串(“保存龙虾!”).getBytes ());test.getOutputStream ();反射。setFieldValue(test, "sizeThreshold", 0); Reflections.setFieldValue(test, "multipart", null); FileOutputStream fos = new FileOutputStream("/tmp/t.tmp"); ObjectOutputStream oos = new ObjectOutputStream(fos); oos.writeObject(test); oos.close(); fos.close();
站得住脚的概念证明了对甲骨文,像上面,将编写一个文件C:\Users\Public\内容”保存龙虾!”。PoC袭击通过TCP端口7001上的WebLogic t3界面一样原始布林攻击

解决方案

Oracle发布了一个补丁的这个问题2017年4月CPU。门户网站和客户可以进行身份验证访问这里

披露时间表

2016-07-25——发现问题
2016-08-12——提交给ZDI考虑、案例bainesjr0010打开
2016-09-21——点击ZDI的地位
2016-09-21——ZDI ack萍和表示他们将“推动”。
2016-10-25——点击ZDI的地位
2016-10-31——ZDI承认平。将“推动”。
2016-11-04——ZDI vuln好心地下降
2016-11-04——供应商通知通过(电子邮件保护)
2016-11-04——供应商ack提交
2016-11-07 -供应商打开票S0795751跟踪
2016-11-22 - Oracle自动状态,“正在调查/被固定在主代码线”
2016-12-21 - Oracle自动状态,“正在调查/被固定在主代码线”
2017-01-24 - Oracle自动状态,”固定在主代码线问题,定于未来CPU”
2017-02-24 - Oracle自动状态,”固定在主代码线问题,定于未来CPU”
2017-03-24 - Oracle自动状态,”固定在主代码线问题,定于未来CPU”
2017-04-14——甲骨文状态、问题固定在即将到来的CPU,提供了CVE提前作业
甲骨文2017-04-18——2017年4月发布的CPU

交易报告内的所有信息提供了“是”,没有任何形式的保证,包括适销性的隐含保证和健身为特定目的,并没有保证的完整性、准确性、及时性。个人和组织负责评估任何实际或潜在的安全漏洞的影响。

站得住脚的非常重视产品安全。如果你认为你已经找到一个漏洞在一个我们的产品,我们要求您请与我们共同努力,快速解决它为了保护客户。站得住脚的相信迅速应对这样的报道,与研究人员保持沟通,并提供解决方案。

提交漏洞信息的更多细节,请参阅我们的漏洞报告指南页面。

如果你有问题或修正咨询,请电子邮件(电子邮件保护)

风险信息

成立咨询ID
交易- 2017 - 16
信贷

雅各布·贝恩斯站得住脚的网络安全

CVSSv2基地/时间的分数
10.0/8.3
CVSSv2向量
(AV: N /交流:L /非盟:N / C: C / I: C / A: C / E: F / RL: / RC: C)
更多关键字
S0795751
受影响的产品
Oracle WebLogic Server 12.2.1.0、12.2.1.1 12.2.1.2 12.1.3.0
风险因素
至关重要的

咨询时间

2017-04-18 - (R1)最初版本

站得住脚的脆弱性管理

以前Tenable.io


享受完全访问一个现代的、基于云的脆弱性管理平台,使您能够看到并追踪你所有的资产与无与伦比的精度。

你站得住脚的脆弱性管理试验Lumin还包括成立,成立网络应用扫描和站得住脚的云安全。

站得住脚的脆弱性管理

以前Tenable.io

享受完全访问一个现代的、基于云的脆弱性管理平台,使您能够看到并追踪你所有的资产与无与伦比的精度。今天购买你的年度订阅。

65年资产

选择你的订阅选项:

现在购买

尝试成立Nessus专业免费的

免费7天

站得住脚的Nessus是当今市场上最全面的漏洞扫描器。

新成立Nessus专家
现在可用

Nessus专家增添了更多的功能,包括外部攻击表面扫描,和添加域和扫描云基础设施的能力。点击这里尝试Nessus专家。

填写下面的表格继续Nessus Pro的审判。

买站得住脚的Nessus专业

站得住脚的Nessus是当今市场上最全面的漏洞扫描器。站得住脚的Nessus专业将帮助自动化漏洞扫描过程,节省时间在你的合规周期,让你与你的团队。

买一个多年的许可并保存。高级支持访问添加到手机、社区和聊天支持一天24小时,一年365天。

选择您的许可

买一个多年的许可并保存。

添加的支持和培训

Tenable.io

享受完全访问一个现代的、基于云的脆弱性管理平台,使您能够看到并追踪你所有的资产与无与伦比的精度。

你站得住脚的脆弱性管理试验Lumin还包括成立,成立网络应用扫描和站得住脚的云安全。

Tenable.io

享受完全访问一个现代的、基于云的脆弱性管理平台,使您能够看到并追踪你所有的资产与无与伦比的精度。今天购买你的年度订阅。

65年资产

选择你的订阅选项:

现在购买

尝试站得住脚的Web应用程序扫描

以前Tenable.ioWeb Application Scanning

享受完全访问我们的最新的web应用程序扫描提供专为现代应用程序的一部分的一个管理平台。安全扫描整个在线组合漏洞具有高精确度没有重体力工作或中断关键web应用程序。现在报名。

你站得住脚的Web应用程序扫描试验还包括站得住脚的脆弱性管理,成立Lumin站得住脚的云安全。

买站得住脚的Web应用程序扫描

以前Tenable.ioWeb Application Scanning

享受完全访问一个现代的、基于云的脆弱性管理平台,使您能够看到并追踪你所有的资产与无与伦比的精度。今天购买你的年度订阅。

5 fqdn

3578美元

现在购买

尝试成立Lumin

可视化和探索你的风险管理,跟踪风险降低随着时间的推移和基准与站得住脚的Lumin你的同行。

你站得住脚的Lumin审判还包括站得住脚的脆弱性管理,站得住脚的Web应用程序扫描和站得住脚的云安全。

买站得住脚的Lumin

联系销售代表如何站得住脚的Lumin可以帮助你了解你的整个组织和管理网络的风险。

尝试站得住脚的云安全

以前Tenable.cs

享受完全访问检测和修复云基础设施配置错误和查看运行时的漏洞。现在注册你的免费试用。了解更多关于审判过程请点击这里。

你站得住脚的云安全试验还包括站得住脚的脆弱性管理,成立Lumin和站得住脚的Web应用程序扫描。

联系销售代表购买站得住脚的云安全

联系销售代表来了解更多关于站得住脚的云安全,看是多么容易机载云账户和获得可见性都几分钟内云配置错误和漏洞。

尝试成立Nessus专家免费

免费7天

现代修建的攻击表面,Nessus专家使您能够看到更多和保护您的组织从漏洞从云。

已经成立Nessus专业吗?
升级到Nessus专家免费7天。

买站得住脚的Nessus专家

现代修建的攻击表面,Nessus专家使您能够看到更多和保护您的组织从漏洞从云。

选择您的许可

买一个多年的执照和存更多的钱。

添加的支持和培训

尝试Nessus专家免费

免费7天

现代修建的攻击表面,Nessus专家使您能够看到更多和保护您的组织从漏洞从云。

已经有了Nessus专业?
升级到Nessus专家免费7天。

买站得住脚的Nessus专家

现代修建的攻击表面,Nessus专家使您能够看到更多和保护您的组织从漏洞从云。

选择您的许可

买一个多年的执照和存更多的钱。

添加的支持和培训

Baidu
map