{"id":546,"date":"2019-05-02T13:38:47","date_gmt":"2019-05-02T11:38:47","guid":{"rendered":"https:\/\/corsaire-consulting.fr\/blog\/?p=546"},"modified":"2019-06-26T12:17:48","modified_gmt":"2019-06-26T10:17:48","slug":"cve-2019-2725","status":"publish","type":"post","link":"https:\/\/corsaire-consulting.fr\/blog\/index.php\/2019\/05\/02\/cve-2019-2725\/","title":{"rendered":"CVE-2019-2725"},"content":{"rendered":"<p>Les versions 10.3.6 et 12.1.3 sont vuln\u00e9rables \u00e0 une faille de s\u00e9curit\u00e9 majeure expos\u00e9e dans la <a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2019-2725\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2019-2725<\/a>. De niveau 9.8 cette faille permet une prise de contr\u00f4le \u00e0 distance d&rsquo;un serveur via une requ\u00eate HTTP sans avoir besoin de s&rsquo;authentifier. La faille s&rsquo;appuie encore une fois sur la d\u00e9s\u00e9rialisation des objets Java.<\/p>\n<p>Une faille sensiblement identique a d\u00e9j\u00e0 \u00e9t\u00e9 trait\u00e9e dans l&rsquo;article <a href=\"https:\/\/corsaire-consulting.fr\/blog\/index.php\/2019\/01\/17\/securite-des-serveurs-et-la-necessite-de-les-patcher\/\">S\u00e9curit\u00e9 des serveurs et la n\u00e9cessit\u00e9 de les patcher<\/a><\/p>\n<p><!--more--><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>2 applications web peuvent servir de vecteur pour d\u00e9clencher une attaque :<\/p>\n<ul>\n<li>wls-wsat.war<\/li>\n<li>bea_wls9_async<\/li>\n<\/ul>\n<h1>Contre-mesures<\/h1>\n<p>L&rsquo;application du patch publi\u00e9 par Oracle est la solution recommand\u00e9e.<\/p>\n<p>Toutefois, il est \u00e9galement possible d&rsquo;agir au niveau des 2 applications comme indiqu\u00e9 dans les chapitres ci-dessous.<\/p>\n<h2>Patching<\/h2>\n<p>Oracle propose le Patch 29694149 comme correctif. Il doit \u00eatre appliqu\u00e9 <strong>apr\u00e8s<\/strong> un des PSU (Patch Set Update) indiqu\u00e9s ci-dessous :<\/p>\n<p><strong>WebLogic Server 10.3.6.0<\/strong><\/p>\n<ul>\n<li>PSU 10.3.6.0.190115 (Patch 28710912)<\/li>\n<li>PSU 10.3.6.0.190416 (Patch 29204678)<\/li>\n<\/ul>\n<p><strong>WebLogic Server 12.1.3.0<\/strong><\/p>\n<ul>\n<li>PSU 12.1.3.0.190115 (Patch 28710923)<\/li>\n<li>PSU 12.1.3.0.190416 (Patch 29204657)<\/li>\n<\/ul>\n<p>Les versions 12.2.x ne sont pas vuln\u00e9rables \u00e0 cette faille de s\u00e9curit\u00e9.<\/p>\n<div class=\"alert alert-block alert-danger\">Les versions ant\u00e9rieures \u00e0 10.3.6.0 sont tr\u00e8s certainement vuln\u00e9rables mais Oracle ne propose aucun patch car elles ne sont plus support\u00e9es. Si vous \u00eates dans cette situation il faut mettre \u00e0 jour votre environnement.<\/div>\n<p>Un <a href=\"https:\/\/www.oracle.com\/technetwork\/security-advisory\/alert-cve-2019-2725-5466295.html\" target=\"_blank\" rel=\"noopener noreferrer\">bulletin de s\u00e9curit\u00e9<\/a> traitant du sujet a \u00e9t\u00e9 publi\u00e9 par Oracle le 26 avril 2019.<\/p>\n<p>Cette faille se situe au niveau des applications web internes wls-wsat et bea_wls9_async qui se trouvent :<\/p>\n<ul>\n<li>WebLogic Server 10.3.6 : $BEA_HOME\/wlserver_10.3\/server\/lib\/bea_wls9_async_response.war<\/li>\n<li>WebLogic Server 12.1.3 : $MW_HOME\/oracle_common\/modules\/com.oracle.webservices.wls.bea-wls9-async-response_12.1.3.war<\/li>\n<li>WebLogic Server 10.3.6 : $BEA_HOME\/wlserver_10.3\/server\/lib\/wls-wsat.war<\/li>\n<li>WebLogic Server 12.1.3 : $MW_HOME\/oracle_common\/modules\/com.oracle.webservices.wls.wsat-endpoints-impl_12.1.3.war<\/li>\n<\/ul>\n<p>Ces applications web sont automatiquement d\u00e9ploy\u00e9es sur les serveurs WebLogic.<\/p>\n<p>bea_wls9_async est par exemple accessible via l&rsquo;url<br \/>\nhttp:\/\/[HOST]:[PORT]\/_async\/AsyncResponseServiceHttps<\/p>\n<h2>D\u00e9sactivation de l&rsquo;application bea_wls9_async<\/h2>\n<p>La propri\u00e9t\u00e9 suivante permet d&rsquo;indiquer \u00e0 WebLogic de ne pas d\u00e9ployer l&rsquo;application :<\/p>\n<p>[pastacode lang=\u00a0\u00bbjava\u00a0\u00bb manual=\u00a0\u00bb-Dweblogic.wsee.skip.async.response%3Dtrue\u00a0\u00bb message=\u00a0\u00bb\u00a0\u00bb highlight=\u00a0\u00bb\u00a0\u00bb provider=\u00a0\u00bbmanual\u00a0\u00bb\/]<\/p>\n<h2>Suppression des applications de l&rsquo;installation<\/h2>\n<p>Si vos applications n&rsquo;utilisent pas les 2 applications internes incrimin\u00e9es il peut \u00eatre judicieux de les d\u00e9sactiver compl\u00e8tement, ce qui annule la faille par la m\u00eame occasion.<\/p>\n<p>Pour ce faire, il faut :<\/p>\n<ul>\n<li>Arr\u00eater tous les serveurs du domaine.<\/li>\n<li>Supprimer ou renommer les .war<\/li>\n<li><strong>Supprimer le r\u00e9pertoire \u00ab\u00a0tmp\u00a0\u00bb de chaque serveur sous<\/strong> $DOMAIN_HOME\/servers\/&lt;nom du serveur&gt;\/tmp<\/li>\n<li>D\u00e9marrer les serveurs.<\/li>\n<\/ul>\n<p>Un warning sera affich\u00e9 dans la log de chaque serveur indiquant que WebLogic n&rsquo;a pas r\u00e9ussit \u00e0 d\u00e9ployer l&rsquo;application.<\/p>\n<p>Exemple :<\/p>\n<p>[pastacode lang=\u00a0\u00bbmarkup\u00a0\u00bb manual=\u00a0\u00bb%3C&#8230;%3E%20%3CWarning%3E%20%3CDeployer%3E%20%3CBEA-149617%3E%20%3CNon-critical%20internal%20application%20com.oracle.webservices.wls.bea-wls9-async-response_12.1.3%20was%20not%20deployed.%20Error%3A%20%5BDeployer%3A149158%5DNo%20application%20files%20exist%20at%20%22&#8230;%5Cwlserver%5Cserver%5Clib%5C..%5C..%5C..%5Coracle_common%5Cmodules%5Ccom.oracle.webservices.wls.bea-wls9-async-response_12.1.3.war%22.%3E\u00a0\u00bb message=\u00a0\u00bb\u00a0\u00bb highlight=\u00a0\u00bb\u00a0\u00bb provider=\u00a0\u00bbmanual\u00a0\u00bb\/]<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les versions 10.3.6 et 12.1.3 sont vuln\u00e9rables \u00e0 une faille de s\u00e9curit\u00e9 majeure expos\u00e9e dans la CVE-2019-2725. De niveau 9.8 cette faille permet une prise de contr\u00f4le \u00e0 distance d&rsquo;un serveur via une requ\u00eate HTTP sans avoir besoin de s&rsquo;authentifier. La faille s&rsquo;appuie encore une fois sur la d\u00e9s\u00e9rialisation des objets Java. Une faille sensiblement [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":372,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[4],"tags":[87,48,56,88,8],"class_list":["post-546","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-weblogic","tag-cve-2019-2725","tag-oracle","tag-securite","tag-web-service","tag-weblogic-server"],"_links":{"self":[{"href":"https:\/\/corsaire-consulting.fr\/blog\/index.php\/wp-json\/wp\/v2\/posts\/546","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/corsaire-consulting.fr\/blog\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/corsaire-consulting.fr\/blog\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/corsaire-consulting.fr\/blog\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/corsaire-consulting.fr\/blog\/index.php\/wp-json\/wp\/v2\/comments?post=546"}],"version-history":[{"count":20,"href":"https:\/\/corsaire-consulting.fr\/blog\/index.php\/wp-json\/wp\/v2\/posts\/546\/revisions"}],"predecessor-version":[{"id":582,"href":"https:\/\/corsaire-consulting.fr\/blog\/index.php\/wp-json\/wp\/v2\/posts\/546\/revisions\/582"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/corsaire-consulting.fr\/blog\/index.php\/wp-json\/wp\/v2\/media\/372"}],"wp:attachment":[{"href":"https:\/\/corsaire-consulting.fr\/blog\/index.php\/wp-json\/wp\/v2\/media?parent=546"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/corsaire-consulting.fr\/blog\/index.php\/wp-json\/wp\/v2\/categories?post=546"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/corsaire-consulting.fr\/blog\/index.php\/wp-json\/wp\/v2\/tags?post=546"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}