近日,360企业安全集团代码卫士团队安全研究人员发现Oracle公司旗下产品Oracle WebLogic Server的多个高危安全漏洞(CVE-2018-3245、CVE-2018-3248、CVE-2018-3249、CVE-2018-3252),并第一时间向Oracle公司报告,协助其修复漏洞。
Oracle WebLogic Server 是目前全球J2EE使用最广泛的商业应用中间件之一。北京时间2018年10月17日,Oracle公司发布了关键补丁更新公告(Oracle Critical Patch Update Advisory - October 2018),公开致谢360企业安全集团代码卫士团队,并且发布相应的补丁修复漏洞。
图 Oracle公司官方公告
图 致谢360代码卫士
在Oracle公司本次修复的漏洞中,CVE-2018-3245 和 CVE-2018-3252均为高危反序列化漏洞,影响多个WebLogic大版本,CVSS评分为9.8分,一定条件下,可以造成远程代码执行。本文将针对这两个漏洞进行简单描述。
0x00 CVE-2018-3245 (JRMP Deserialization via T3)
该漏洞是一个绕过补丁的漏洞,在Oracle 7月份修复JRMP反序列化漏洞的补丁功能中可以被绕过,导致补丁无效。该漏洞高危,可远程执行任意代码。
0x01 CVE-2018-3252 (Deserialization via HTTP)
这个漏洞的触发并不是官方描述的T3协议,而是通过HTTP的方式即可触发(危害更大,HTTP一般防火墙均可通过)。由于补丁发布时间不久,互联网上还有大量未及时打补丁的WebLogic Server。该漏洞的细节暂时不公开。
0x02 参考链接
Oracle Critical Patch Update Advisory - October 2018
(https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html)
0x03 关于360代码卫士
360代码卫士是360企业安全集团旗下专注于软件源代码安全的产品线,能力涵盖了源代码缺陷检测、源代码合规检测、源代码溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、代码编写的合规性问题、开源代码安全管控问题。“360代码卫士”系列产品可支持Windows、Linux、Android、Apple iOS、IBM AIX等平台上的源代码安全分析,支持的编程语言涵盖C、C++、C#、Objective-C、Java、JSP、JavaScript、PHP、Python、Go、区块链智能合约Solidity等。目前360代码卫士已应用于上百家大型机构,帮助用户构建自身的代码安全保障体系,消减软件代码安全隐患。
好文章,需要你的鼓励
Gartner预测,到2030年所有IT工作都将涉及AI技术的使用,这与目前81%的IT工作不使用AI形成鲜明对比。届时25%的IT工作将完全由机器人执行,75%由人类在AI辅助下完成。尽管AI将取代部分入门级IT职位,但Gartner认为不会出现大规模失业潮,目前仅1%的失业由AI造成。研究显示65%的公司在AI投资上亏损,而世界经济论坛预计AI到2030年创造的就业机会将比消除的多7800万个。
谷歌DeepMind团队开发的GraphCast是一个革命性的AI天气预测模型,能够在不到一分钟内完成10天全球天气预报,准确性超越传统方法90%的指标。该模型采用图神经网络技术,通过学习40年历史数据掌握天气变化规律,在极端天气预测方面表现卓越,能耗仅为传统方法的千分之一,为气象学领域带来了效率和精度的双重突破。
人工智能正从软件故事转向AI工厂基础,芯片、数据管道和网络协同工作形成数字化生产系统。这种新兴模式重新定义了性能衡量标准和跨行业价值创造方式。AI工厂将定制半导体、低延迟结构和大规模数据仪器整合为实时反馈循环,产生竞争优势。博通、英伟达和IBM正在引领这一转变,通过长期定制芯片合同和企业遥测技术,将传统体验转化为活跃的数字生态系统。
韩国成均馆大学研究团队开发了首个机器遗忘可视化评估系统Unlearning Comparator,解决了AI"选择性失忆"技术缺乏标准化评估的问题。系统通过直观界面帮助研究人员深入比较不同遗忘方法,并基于分析洞察开发出性能优异的引导遗忘新方法,为构建更负责任的AI系统提供重要工具支持。