请问一下,师傅交这个洞的时候,Oracle发布关于ABBREV_CLASSES白名单补丁了吗?因为官网写的t3/6.5分。个人比较好奇影响评分的是JNDI的原因还是ABBREV_CLASSES白名单的原因。
漏洞简述
这是一个反序列化漏洞,是一条新的gadget,在低版本的JDK中可能会造成RCE风险。
漏洞分析
测试环境weblogic14c版本,测试JDK 1.8版本。
首先会调用BadAttributeValueExpException.readObject方法
接着会调用SessionData.toString方法
接着会调用SessionData.isDebuggingSession方法
接着会调用SessionData.getAttribute方法
接着会调用SessionData.getAttributeInternal方法
接着会调用AttributeWrapperUtils.unwrapObject方法
接着会调用AttributeWrapperUtils.unwrapEJBObjects方法
接着会调用BusinessHandleImpl.getBusinessObject方法
接着会调用HomeHandleImpl.getEJBHome方法
可以看到这里调用了ctx.lookup方法
修复建议
及时更新补丁,参考oracle官网发布的补丁: