【每日安全资讯】漏洞预警 | WebLogic XMLDecoder反序列化漏洞（CVE-2017-10271）

Oracle Fusion Middleware（Oracle融合中间件）是美国甲骨文（Oracle）公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle WebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。

漏洞编号

CVE-2017-10271

影响范围

Oracle WebLogic Server 10.3.6.0.0版本

Oracle WebLogic Server 12.1.3.0.0版本

Oracle WebLogic Server 12.2.1.1.0版本

漏洞详情

Oracle Fusion Middleware中的Oracle WebLogic Server组件的WLS Security子组件存在安全漏洞。使用精心构造的xml数据可能造成任意代码执行，攻击者只需要发送精心构造的 HTTP 请求，就可以拿到目标服务器的权限。攻击者可利用该漏洞控制组件，影响数据的可用性、保密性和完整性。

修复方案

1. 升级Oracle 10月份补丁

2. 对访问wls-wsat的资源进行访问控制

参考：

http://www.oracle.com/technetwork/security-advisory/cpuoct2017verbose-3236627.html

来源：freebuf.com

更多资讯

◈ 苹果忽视漏洞报告六星期 iOS升级让用户住所更危险

http://t.cn/RTsHbV4

◈ Keeper 起诉报道漏洞的 Ars 编辑

http://t.cn/RTsHbeb

◈ 赛门铁克：更多的网站被黑客挂上挖矿脚本！

http://t.cn/RTsHGOa

◈ 立陶宛封杀卡巴斯基杀毒软件 担心此类软件可能进行网络间谍活动

http://t.cn/RTsHq2U

（信息来源于网络，安华金和搜集整理）