服务器-Commons Collections组件反序列化漏洞 weblogic12.1.2以上版本怎么解决

问题描述

Commons Collections组件反序列化漏洞 weblogic12.1.2以上版本怎么解决: weblogic12.1.2以下版本可以通过删除服务器自带的XXX.collections.XX.jar包
删除掉里面的“org/apache/commons/collections/functors/InvokerTransformer.class” 文件，可以解决。
但是包含12.1.2及以上的版本就算删掉了那个包的文件，清了管理服务器的cache和tmp，停掉其他受管服务器，但还是漏洞还是能读取到这个文件。
望各位大神求教

解决方案

http://www.myhack58.com/Article/html/3/62/2015/69493.htm

时间： 2024-11-02 08:39:12

服务器-Commons Collections组件反序列化漏洞 weblogic12.1.2以上版本怎么解决的相关文章

借助DNS解析来检测Java反序列化漏洞

本文讲的是借助DNS解析来检测Java反序列化漏洞, 安全问题中最重要的是什么,我们认为重要的就是确保数据来源的安全性和对敏感数据的保护. 域名系统(DNS)是关联网址(如www.makeuseof.com)和IP地址(54.221.192.241)的系统.当你使用浏览器访问一个网站,它会向DNS服务器发送你输入的地址请求,然后DNS服务器会指出其正确的IP地址,这是互联网如何工作的一个关键部分.但是DNS中的信息经常会发生泄漏. Java 对象序列化是 JDK 1.1 中引入的一组开创性特性之

禁止JVM执行外部命令Runtime.exec -- 由Apache Commons Collections漏洞引发的思考

update: 2015-11-16 新版apache commons collections 3.2.2修复漏洞新版本的apache commons collections默认禁止了不安全的一些转换类.可以通过升级来修复漏洞.参考release说明:https://commons.apache.org/proper/commons-collections/release_3_2_2.html Dubbo rpc远程代码执行的例子 update: 2015-11-13 重新思考了下这个漏洞,给

Apache日志记录组件Log4j出现反序列化漏洞黑客可以执行任意代码所有2.x版本均受影响

开源的东西用的人多了,自然漏洞就多.Apache用于日志记录的组件Log4j使用非常灵活,在相当多的开源项目中都有使用,此次漏洞影响所有Apache Log4j 2.*系列版本: Apache Log4j 2.0-alpha1 – Apache Log4j 2.8.1,使用Java 7+的用户应立即升级至2.8.2版本.绿盟科技发布安全威胁通告,通告全文如下: Apache Log4j是什么 Log4j是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台.文

Jackson框架出现Java反序列化漏洞 2.7.10 及2.8.9以下版本受影响绿盟科技发布防护方案

Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json.xml转换成Java对象,在2017年3月份, fastjson 1.2.24之前版本曾经出现过严重漏洞 .而更早的时候,Java反序列化漏洞问题曾经一度让大家心惊肉跳,这次是Jackson框架 2.7.10 及2.8.9以下版本出现任意代码执行漏洞,攻击者利用该漏洞可以获得网站控制权.考虑到由于漏洞已经被验证可以利用,绿盟科技于昨日发布漏洞预警通告< Jackson框架Java反序列化远程代码执行漏洞预

绿盟科技网络安全威胁周报2017.16 建议关注Apache Log4j反序列化漏洞CVE-2017-5645

绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-16,绿盟科技漏洞库本周新增92条,其中高危39条.本次周报建议大家关注 Apache Log4j反序列化漏洞 .该漏洞主要是由于在处理ObjectInputStream时,接收器对于不可靠来源的input没有过滤.可以通过给TcpSocketServer和UdpSocketServer添加可配置的过滤功能以及一些相关设置,可以有效的解决该漏洞.目前Log4j官方已经发布新版本修复了该漏洞,请用户及时排查是否受到影响,升级版本修复漏洞.

【分享】Java反序列化漏洞从理解到实践

一.前言在学习新事物时,我们需要不断提醒自己一点:纸上得来终觉浅,绝知此事要躬行.这也是为什么我们在学到知识后要付诸实践的原因所在.在本文中,我们会深入分析大家非常熟悉的 Java发序列化漏洞 .对我们而言,最好的实践就是真正理解手头掌握的知识,并可以根据实际需要加以改进利用.本文的主要内容包括以下两方面: 1. 利用某个反序列化漏洞. 2. 自己手动创建利用载荷. 更具体一点,首先我们会利用现有工具来实际操作反序列化漏洞,也会解释操作的具体含义,其次我们会深入分析载荷相关内容,比

Java反序列化漏洞从理解到实践

一.前言在学习新事物时,我们需要不断提醒自己一点:纸上得来终觉浅,绝知此事要躬行.这也是为什么我们在学到知识后要付诸实践的原因所在.在本文中,我们会深入分析大家非常熟悉的Java发序列化漏洞.对我们而言,最好的实践就是真正理解手头掌握的知识,并可以根据实际需要加以改进利用.本文的主要内容包括以下两方面: 1. 利用某个反序列化漏洞. 2. 自己手动创建利用载荷. 更具体一点,首先我们会利用现有工具来实际操作反序列化漏洞,也会解释操作的具体含义,其次我们会深入分析载荷相关内容,比如什么是载荷.如

Java反序列化漏洞利用的学习与实践

本文讲的是Java反序列化漏洞利用的学习与实践, 利用DeserLab 建议你在阅读本文之前,先阅读<攻击Java反序列化过程>,这样你就会对java反序列化有一个比较清晰的认识.除此之外,这篇文章还提到了一个"DeserLab"的演示应用.为了有效利用反序列化漏洞,理解序列化的原理以及反序列化漏洞利用的工作原理(如面向属性的编程原理),研究人员就要找到一个可供模拟的实验环境,而"DeserLab"就是一个这样的环境. 要想利用一个漏洞,通常的方法首先是

Java反序列化漏洞执行命令回显实现及Exploit下载

原文地址:http://www.freebuf.com/tools/88908.html 本文原创作者:rebeyond 文中提及的部分技术.工具可能带有一定攻击性,仅供安全学习和教学用途,禁止非法使用! 0×00 前言前段时间java 的反序列化漏洞吵得沸沸扬扬,从刚开始国外某牛的一个可以执行OS命令的payload生成器,到后来的通过URLClassLoader来加载远程类来反弹shell.但是后来公司漏扫需要加规则来识别这种漏洞,而客户的漏扫又时常会工作在纯内网的环境下,因此远程加载