Oracle WebLogic Server 多個弱點 (2016 年 1 月 CPU)
high Nessus Plugin ID 88053
語系:
概要
遠端主機上安裝的應用程式伺服器受到多個弱點影響。說明
遠端主機上安裝的 Oracle WebLogic Server 版本受到多個弱點影響:- Sites 子元件受到 Apache Xalan-Java 程式庫中的一個安全性繞過弱點影響,這是因為在 FEATURE_SECURE_PROCESSING 已啟用的情況下無法正確限制某些內容的存取所導致。遠端攻擊者可惡意利用此問題,繞過限制並載入任意類別或存取外部資源。
(CVE-2014-0107)
- WLS Security 元件受到一個遠端程式碼執行弱點影響,這是因為未驗證的 Java 物件對 Apache Commons Collections (ACC) 程式庫進行不安全的還原序列化呼叫所導致。遠端攻擊者可利用此弱點,透過傳至 TCP 連接埠 7001 的 T3 通訊協定流量中特別建構的序列化 Java 物件,執行任意命令。(CVE-2015-4852)
- WLS-Console 子元件中存在一個不明弱點,其允許遠端攻擊者影響系統的完整性。目前尚無其他詳細資料可以提供。(CVE-2016-0464)
- Coherence Container 子元件中存在一個不明弱點,其允許遠端攻擊者影響系統的機密性、完整性和可用性。目前尚無其他詳細資料可以提供。
(CVE-2016-0572)
- WLS Java Messaging Service 子元件中存在一個不明弱點,其允許遠端攻擊者影響系統的機密性、完整性和可用性。目前尚無其他詳細資料可以提供。(CVE-2016-0573)
- WLS Core Components 子元件中存在多個不明弱點,其允許遠端攻擊者影響系統的機密性、完整性和可用性。目前尚無其他詳細資料可以提供。(CVE-2016-0574、CVE-2016-0577)
解決方案
按照 2016 年 1 月 Oracle 重要修補程式更新公告,套用適當的修補程式。另請參閱
http://www.nessus.org/u?d13bbe45
Plugin 詳細資訊
嚴重性: High
ID: 88053
檔案名稱: oracle_weblogic_server_cpu_jan_2016.nbin
版本: 1.432
類型: local
代理程式: windows, macosx, unix
系列: Misc.
已發布: 2016/1/21
已更新: 2024/5/9
組態: 啟用徹底檢查
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: High
分數: 8.9
CVSS v2
風險因素: High
基本分數: 7.5
時間分數: 6.5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 評分資料來源: CVE-2016-0577
弱點資訊
CPE: cpe:/a:oracle:fusion_middleware, cpe:/a:oracle:weblogic_server
必要的 KB 項目: installed_sw/Oracle WebLogic Server
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2016/1/19
弱點發布日期: 2014/3/24
CISA 已知遭惡意利用弱點到期日: 2022/5/3
可惡意利用
CANVAS (CANVAS)
Core Impact
Metasploit (Oracle Weblogic Server Deserialization RCE - Raw Object)
參考資訊
CVE: CVE-2014-0107, CVE-2015-4852, CVE-2016-0464, CVE-2016-0572, CVE-2016-0573, CVE-2016-0574, CVE-2016-0577
CERT: 576313
IAVA: 2015-A-0287