【漏洞预警】平安银河实验室助Oracle公司修复Weblogic安全漏洞

1、漏洞描述

---------------------
平安集团银河实验室 安全研究人员发现Oracle公司旗下产品Oracle WebLogic Server的安全漏洞(CVE-2019-2618、CVE-2019-2615)并第一时间向Oracle公司进行报告。北京时间2019年4月17日,Oracle公司发布了关键补丁更新公告(Oracle Critical Patch Update Advisory –April 2019)。

公告中公开致谢了平安银河实验室。

Oracle WebLogic Server是全球广泛使用的商业化的J2EE应用服务器,用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用。

2、漏洞属性

-------------------------
CVE-2019-2618、CVE-2019-2615均影响WebLogic 10.3.6.0、12.1.3.0、12.2.1.3版本。其中CVE-2019-2618为任意文件上传漏洞,攻击者只需发送精心构造的 HTTP 请求,就能获得目标服务器的权限。由于补丁刚刚发布,漏洞细节暂不公开。另外此次补丁修复了多个高危安全漏洞,建议大家尽快更新安全补丁。

参考链接:
https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html

近年来,中国平安不断加大科技投入。银河实验室是由多位资深安全专家组成的一支专注于金融科技安全领域的研究团队,有丰富的安全攻防对抗经验和国内行业领先的技术实力,切实保障了平安集团旗下各个业务板块和产品的安全,提供高效的安全技术支撑,输出专业的安全研究成果,并积极护航客户\合作商户\生态伙伴的基础信息安全。实验室研究方向覆盖渗透测试、APT攻击、欺骗防御、物联网安全、前沿技术安全、溯源取证、入侵检测、威胁情报、区块链安全、攻防对抗等安全技术方向领域。并逐步形成全面、纵深的安全技能矩阵。定期开展内部培训/技术分享交流,自主研发一些安全工具和系统,携同各方对抗黑灰产,并积极在集团内各专业公司进行安全能力互动与普及安全意识。

本文由 Galaxy Lab 作者:GalaxyLab 发表,其版权均为 Galaxy Lab 所有,文章内容系作者个人观点,不代表 Galaxy Lab 对观点赞同或支持。如需转载,请注明文章来源。
3

发表评论

*