一、概要

近日，華為云檢測到國家信息安全漏洞共享平臺（CNVD）發(fā)布的關(guān)于Oracle WebLogic wls9-async組件存在反序列化遠(yuǎn)程命令執(zhí)行漏洞的安全公告（CNVD-C-2019-48814），攻擊者利用該漏洞可以在未授權(quán)的情況下遠(yuǎn)程執(zhí)行命令，風(fēng)險性高。截止4月27日，Oracle針對此漏洞發(fā)布官方公告并給出了修復(fù)補(bǔ)丁，該漏洞被定為 CVE-2019-2725。

華為云提醒各位租戶及時安排自檢并做好安全加固。

參考鏈接：

http://www.cnvd.org.cn/webinfo/show/4999

https://support.oracle.com/rs?type=doc&id=2535708.1

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急。）

三、影響范圍

Oracle WebLogic Server 10.X

Oracle WebLogic Server 12.1.3

四、處置方案

截止4月27日，Oracle官方發(fā)布針對此漏洞的修復(fù)補(bǔ)丁，請受影響的租戶盡快訪問下面鏈接并按照文檔中的步驟進(jìn)行修復(fù)：

https://support.oracle.com/rs?type=doc&id=2535708.1

其他緩解方案：

參考以下任意一項緩解方案在不影響自身業(yè)務(wù)的情況下進(jìn)行安全加固。

1. 查找并刪除wls9_async_response.war、 wls-wsat.war這兩個受影響組件，然后重啟Weblogic服務(wù)；

2. 通過訪問策略控制，禁止 /_async/* 路徑的URL訪問，目前華為云WAF的精準(zhǔn)訪問防護(hù)功能可防御該漏洞攻擊。

注：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。華為云將持續(xù)關(guān)注漏洞后續(xù)進(jìn)展和官方補(bǔ)丁動態(tài)，請各位租戶留意。