weblogic uddiexplorer漏洞解决方法(WebLogic服务器端请求伪造漏洞(CVE-2014-4210))

weblogic uddiexplorer漏洞解决方法

大体调查下是weblogic对外提供了uddi方式的服务，而攻击者借用这一个对外公布服务进行的攻击。

 

 

 

关于oracle产品 uddi漏洞，看了篇文章

http://blog.gdssecurity.com/labs/2015/3/30/weblogic-ssrf-and-xss-cve-2014-4241-cve-2014-4210-cve-2014-4.html

 

说oracle发布了对应的更新包

 

CPU = Critical Patch Update 更新包

 http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html

 

 

 

可以根据oralce官方提供的文档，进行修复。

 

 

 

 

 

最终我采用下面方法进行解决（如果你的应用没有使用uddiexplorer服务，你可以按照我下面方式来搞）

 

 

/app/bea/weblogic92/server/lib/uddiexplorer.war，解压后，注释掉下图的对应jsp，再进行打包，替换之前的/app/bea/weblogic92/server/lib/uddiexplorer.war

发现通过http://ip:port/uddiexplorer/SearchPublicRegistries.jsp 访问页面，无法找到，报404错误。

 

 

上面方法改的是weblogic92/server/lib公共部分，改后，应该适用weblogic下面建的所有域。

--------------------- 

作者：anhuixiaozi 

来源：CSDN 

原文：https://blog.csdn.net/anhuixiaozi/article/details/51133356?utm_source=copy 

版权声明：本文为博主原创文章，转载请附上博文链接！