虚拟化容器,大数据,DBA,中间件,监控。

Weblogic uddiexplorer/SSRF漏洞解决方法

04 01月
作者:admin|分类:应用管理

大体调查下是weblogic对外提供了uddi方式的服务,而攻击者借用这一个对外公布服务进行的攻击。

 

关于oracle产品 uddi漏洞,看了篇文章
http://blog.gdssecurity.com/labs/2015/3/30/weblogic-ssrf-and-xss-cve-2014-4241-cve-2014-4210-cve-2014-4.html

说oracle发布了对应的更新包

CPU = Critical Patch Update 更新包
 http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html


可以根据oralce官方提供的文档,进行修复。


最终我采用下面方法进行解决(如果你的应用没有使用uddiexplorer服务,你可以按照我下面方式来搞)

/app/bea/weblogic92/server/lib/uddiexplorer.war,使用RAR打开后,注释掉下图的对应jsp,再进行打包,替换之前的/app/bea/weblogic92/server/lib/uddiexplorer.war

发现通过http://ip:port/uddiexplorer/SearchPublicRegistries.jsp 访问页面,无法找到,报404错误。

 
上面方法改的是weblogic92/server/lib公共部分,改后,应该适用weblogic下面建的所有域。
浏览1959 评论0
返回
目录
返回
首页
WebLogic CVE-2017-10271漏洞修复教程 点劫持(Clickjacking: X-Frame-Options header missing)(低危)