漏洞描述：由于在反序列化處理輸入信息的過程中存在缺陷，未經授權的攻擊者可以發送精心構造的惡意HTTP請求，利用該漏洞獲取服務器權限，實現遠程代碼執行。

　　修復建議：官方目前已發布針對此漏洞的緊急修復補丁，可以采取以下4種方式進行防護。

　　1)及時打上官方CVE-2019-2725補丁包

　　官方已于4月26日公布緊急補丁包

　　2)升級本地JDK版本

　　因為Weblogic所采用的是其安裝文件中默認1.6版本的JDK文件，屬于存在反序列化漏洞的JDK版本，因此升級到JDK7u21以上版本可以避免由于Java原生類反序列化漏洞造成的遠程代碼執行。

　　3)配置URL訪問控制策略

　　部署于公網的 WebLogic服務器,可通過ACL禁止對l_async/及/wls-wsat/路徑的訪問。

　　4)刪除不安全文件

　　刪除 wls9_async_response.war與wls-wsat.war 文件及相關文件夾，并重啟Weblogic 服務。

　　具體文件路徑如下:10.3.*版本:Middlewarelwlserver_10.3\serverVlib\%DOMAIN_HOME%\servers\AdminServerltmpl_WL_internall%DOMAIN_HOME%\serversWAdminServerltmpl.internall12.1.3版本:Middleware\Oracle_Home\oracle_common\modules\%DOMAIN_HOME%\servers\AdminServer\tmpl.internal\%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\

　　注: wls9_async_response.war 及wls-wsat.war屬于一級應用包，對其進行移除或更名操作可能造成未知的后果，Oracle官方不建議對其進行此類操作。若在直接刪除此包的情況下應用出現問題，將無法得到Oracle 產品部門的技術支持。請用戶自行進行影響評估，并對此文件進行備份后，再執行此操作。

　　更多關于網絡安全培訓的問題，歡迎咨詢千鋒教育在線名師。千鋒教育擁有多年IT培訓服務經驗，采用全程面授高品質、高體驗培養模式，擁有國內一體化教學管理及學員服務，助力更多學員實現高薪夢想。