Weblogic uddiexplorer/SSRF漏洞解决方法
大体调查下是weblogic对外提供了uddi方式的服务,而攻击者借用这一个对外公布服务进行的攻击。
关于oracle产品 uddi漏洞,看了篇文章
http://blog.gdssecurity.com/labs/2015/3/30/weblogic-ssrf-and-xss-cve-2014-4241-cve-2014-4210-cve-2014-4.html
说oracle发布了对应的更新包
CPU = Critical Patch Update 更新包
http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html
可以根据oralce官方提供的文档,进行修复。
最终我采用下面方法进行解决(如果你的应用没有使用uddiexplorer服务,你可以按照我下面方式来搞)
/app/bea/weblogic92/server/lib/uddiexplorer.war,使用RAR打开后,注释掉下图的对应jsp,再进行打包,替换之前的/app/bea/weblogic92/server/lib/uddiexplorer.war
发现通过http://ip:port/uddiexplorer/SearchPublicRegistries.jsp 访问页面,无法找到,报404错误。
上面方法改的是weblogic92/server/lib公共部分,改后,应该适用weblogic下面建的所有域。
目录 返回
首页