安全人員在甲骨文 WebLogic 服務(wù)器(WLS)中發(fā)現(xiàn)了一個(gè)新的可遠(yuǎn)程利用的?洞。該?洞編號(hào) CVE-2019-2725 ，其無(wú)需用戶身份驗(yàn)證即可被遠(yuǎn)程利用，且 CVSS 評(píng)分達(dá) 9.3 分(滿分 10 分)，是一個(gè)關(guān)鍵?洞

　　甲骨文發(fā)布了一個(gè) 安全警報(bào) ，指出受此?洞影響的服務(wù)器版本包括 10.3.6.0 和 12.1.3.0。這個(gè)?洞很容易被利用，黑色產(chǎn)業(yè)已經(jīng)有很多攻擊者用它來(lái)植入 勒索程序 ， 挖礦程序 及其它惡意程序。甲骨文“強(qiáng)烈建議客戶盡快應(yīng)用更新”。

　　此?洞的主要缺陷在于對(duì)反序列化的 XML 數(shù)據(jù)的驗(yàn)證不充分。通過(guò)特制的 SOAP 請(qǐng)求，攻擊者可以在服務(wù)器上獲得完整的代碼執(zhí)行權(quán)限。

　　具體而言，該?洞存在于 /_async/AsyncResponseService 端點(diǎn)上的 WLS 的異步組件中。此端點(diǎn)是用于處理異步請(qǐng)求——響應(yīng)功能的內(nèi)部端點(diǎn)。

　　當(dāng) AsyncResponseService 端點(diǎn)收到請(qǐng)求時(shí)，它會(huì)遍歷 handler 列表，從而允許?個(gè) handler 都有機(jī)會(huì)處理請(qǐng)求。一個(gè)名為 WorkAreaServerHandler 的特殊 handler 會(huì)用到 WorkContextXmlInputAdapter，后者又用到 XMLDecoder，這里就是?洞的源頭了。

　　XMLDecoder 本質(zhì)上與用來(lái)接收 Serializable 對(duì)象的 ObjectInputStream 非常相似，區(qū)別在于 XMLDecoder 使用 XML 格式而非二進(jìn)制格式來(lái)描述序列化對(duì)象。如果?有合適干凈的輸入內(nèi)容，任何 Java 對(duì)象都可以被反序列化。

　　不幸的是，這個(gè)?洞并不是 WebLogic 或 Java 的第一個(gè)?洞。2017 年，WebLogic 報(bào)告了一個(gè)類似的?洞( CVE-2017-10271 )。反序列化?洞在 Java 中很常見(jiàn)，正如 InfoQ 文章《 Java 序列化的狀態(tài) 》中所提到的一樣。為了阻止這類?洞，Java 9 引入了 JEP-290 。

　　甲骨文建議立即使用修補(bǔ)程序解決此問(wèn)題。其它非官方的建議有：阻止訪問(wèn)所有的 /_async/* 地址，或刪除 WAR 文件以及同異步功能相關(guān)的所有文件。