一、概要

近日，華為云關注到業(yè)界報告Oracle Weblogic遠程反序列化命令執(zhí)行漏洞，該漏洞繞過了最新的Weblogic補?。–VE-2019-2725），攻擊者可以發(fā)送精心構造的惡意HTTP請求，在未授權的情況下遠程執(zhí)行命令，風險性高。截止目前，官方補丁未發(fā)布，漏洞細節(jié)未公開。

華為云提醒各位租戶及時安排自檢并做好安全加固。

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急。）

三、影響范圍

Oracle WebLogic Server 10.3.6

Oracle WebLogic Server 12.1.3

四、處置方案

目前，Oracle官方暫未發(fā)布修復補丁，請受影響的租戶參考以下任意一項臨時解決方案在不影響自身業(yè)務的情況下進行安全加固：

1. 查找并刪除wls9_async_response.war、 wls-wsat.war這兩個受影響組件，然后重啟Weblogic服務；

2. 通過訪問策略控制，禁止 /_async/* 及/wls-wsat/*路徑的URL訪問，目前華為云WAF的精準訪問防護功能可防御該漏洞攻擊。

注：修復漏洞前請將資料備份，并進行充分測試。華為云將持續(xù)關注漏洞后續(xù)進展和官方補丁動態(tài)，請各位租戶留意。