我修复印象比较深的bug

简介: Oracle WebLogic T3反序列化漏洞

对于我印象比较深的bug,是在今年4月分的时候,由阿里云应急响应中心检测到的Oracle WebLogic T3反序列化漏洞,Oracle WebLogic T3反序列化远程命令执行漏洞最新利用方式,并且经过验证是真是存在的漏洞,并且是属于0day的级别,当时官方并没有
发布相关补丁,风险级别比较高。
对于漏洞的描述当时写的也是比较清楚的,这个漏斗是由于应用在处理反序列化输入信息的时候存在有一定的缺陷,攻击者可以通过发送恶意请求,从而获得数据库所在服务器的权限,并且可以在未授权的情况下远程执行名利,最终获得服务器的权限,漏洞当时是比较新的,导致官方并没有发布相关的补丁。
当时我们经常使用阿里云,经常关注阿里云,阿里云在发现漏洞的的第一时间就提醒我们广大用户进行组织漏洞攻击。这次涉及的漏洞版本号为Oracle WebLogic Server 10.3.6.0.0、Oracle WebLogic Server 12.1.3.0.0主要是这两个版本上存在漏洞、这个漏洞在当时是属于比较严重的漏洞了
经过对比我们发现我们使用的正是这两个版本之一,向上反馈后立马进行阻止漏洞,
对于当时我们来说有两种解决方案
第一,是禁用T3协议、当时我们是不依赖T3协议进行JVM通信的,所以我们决定通过阻断T3协议来缓解漏洞带来的影响,具体的操作步骤如下,
第一中方法进入Weblogic控制台,在base_domain配置页面中,进入“安全”选项卡页面,点击“筛选器”,配置筛选器
image.png
第二步 在连接筛选器中输入:weblogic.security.net.ConnectionFilterImpl,在连接筛选器规则框中输入: 7001 deny t3 t3s。
image.png
然后在深夜进行重启,
第二种方法是将JDK的版本升级到最新的版本
通过这次

目录
相关文章
|
7月前
|
人工智能 网络安全 Python
一篇普通的bug日志——bug的尽头是next吗?
[bug 1] TypeError: ‘method’ object is not subscriptable 问题代码:
135 0
一篇普通的bug日志——bug的尽头是next吗?
|
开发框架 Java 测试技术
【测试基础】五、这样提bug单,开发小哥还会怼你么?
【测试基础】五、这样提bug单,开发小哥还会怼你么?
【测试基础】五、这样提bug单,开发小哥还会怼你么?
|
测试技术
如何处理不能复现的bug?软件测试工程师避坑指南
软件测试工作中常常会遇到不能复现的bug,遇到这种情况其实很正常,但是很多测试新手都按照自己的想法处理,没有提交bug,或者匆匆关闭bug。线上出现问题,就只能自己背锅了。
564 0
|
Java 中间件 程序员
最网最全bug定位套路,遇见bug再也不慌了
最网最全bug定位套路,遇见bug再也不慌了
330 0
|
缓存 测试技术 UED
那些让我印象深刻的bug--01
之前在测试的时候每次都是输入不同的关键字去搜索,没发现这个问题。因此以后在测试过程中,使用到缓存的接口,要注意避免类似的场景发生,在设计用例的时候也要考虑进去。
那些让我印象深刻的bug--01
|
运维 监控 IDE
同事牛逼啊,写了个隐藏 bug,我排查了 3 天才解决问题!
最近线上监控 SFTP 连接频繁爆表,通过重启某个系统,连接数迅速下降,系统就能恢复正常,初步判断是应用程序连接未关闭的问题导致的。
同事牛逼啊,写了个隐藏 bug,我排查了 3 天才解决问题!
赛博朋克首发Bug多,CDPR:旅程刚开始,已着手更新修复
赛博朋克首发Bug多,CDPR:旅程刚开始,已着手更新修复
321 0
赛博朋克首发Bug多,CDPR:旅程刚开始,已着手更新修复
|
存储 NoSQL 数据库
印象最深的bug
最恐怖的bug既不是环境问题,也不是并发,服务器崩溃。
154 0
印象最深的bug