Glassfish Payara中的Weblogic wls wsat组件:CVE-2017-10271
问题:我认为Weblogic和GlassFish/Payara是完全不同的服务器,不共享任何公共代码/组件。当我使用Payara时,为什么会达到Weblogic CVE 配置:我们的开发和生产系统都在Payara管理下:Glassfish Payara中的Weblogic wls wsat组件:CVE-2017-10271,glassfish,weblogic,shiro,payara,Glassfish,Weblogic,Shiro,Payara,问题:我认为Weblogic和GlassFish/Payara是完全不同的服务器,不共享任何公共代码/组件。当我使用Payara时,为什么会达到Weblogic CVE 配置:我们的开发和生产系统都在Payara管理下: Payara 4.1.1.171.1完整版 Oracle Java 1.8.0_144 CentOS 7 症状: 我们非法连接到url/wls wsat/CoordinatorPortType11和wls wsat/ParticipantPortType,尽管使用Apac
- Payara 4.1.1.171.1完整版
- Oracle Java 1.8.0_144
- CentOS 7
- 我们非法连接到url
和/wls wsat/CoordinatorPortType11
,尽管使用Apache Shiro作为安全系统,但仍使用匿名身份验证wls wsat/ParticipantPortType - 我们的产品中运行着一个未知的Pyton程序。到目前为止还没有发现任何进展
- Payara开发已关闭一次,一次部署失败,Payara停止(
是必需的)。帕亚拉的生产已经关闭了一次。所有这些都是出于未知的原因,尤其是在关机的时候,最多有一两个用户没有做什么特别的事情start domain
- 在看过和阅读之后,我认为WebLogic系统的问题已经解决了,但我不知道映射GlassFish版本WebLogic版本是否存在
- 除非我错过了一件大事,否则我还没有找到任何与帕亚拉有关的东西
- 我们计划很快升级到Payara 4.1.2.174,但我不能保证它会解决此问题
- 我想看看Shiro是如何阻止这种联系的
我问这个问题是为了确保WebLogic和GlassFish/Payara之间没有关系,然后再在Payara GitHub上发布一个问题。我尝试运行python脚本失败,我不懂python:(我可能误读了一些东西,但听起来好像有人试图利用WebLogic漏洞攻击您的Payara实例。您发布的CVE链接包含一个指向GitHub存储库的链接,该存储库演示了该漏洞,因此有人很容易找到并使用此示例。@Mike这就是为什么我对WebLogic漏洞感到惊讶失败显然适用于Payara…以防万一,我已将我们的开发系统升级到4.1.2.174,但很抱歉,noobish的问题是,我如何知道是否必须等待Payara补丁(类似于Oracle的补丁)或者我需要修复我们的防火墙规则/应用程序安全性?此外,他们正在消耗我大量的入站带宽。WLS攻击使用Payara服务器中不可用的/WLS stat端点。这真的是一个连接还是仅仅是URL
/WLS wsat/CoordinatorPortType11