1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 计算机
  5. Web服务

weblogic反序列补丁安装精要.doc

weblogic反序列补丁安装精要.doc

    weblogic反序列补丁安装精要

    weblogic 漏洞 处理报告 2016年1月18日 漏洞描述 简单来说序列化是将对象状态转换为可保持或传输的格式的过程(bytestream)。与序列化相对的是反序列化,它将流(bytestream)转换为对象。这两个过程结合起来,可以轻松地存储和传输数据平常状况下正常的数据流被反序列化的时候产生的是预期的正常的对象。但是当在进行反序列化的时候,被反序列化的数据是被经过恶意静心构造的,此时反序列化之后就会产生非预期的恶意对象。这个时候就可能引起任意代码执行。 影响版本 Oracle WebLogic服务器,版本,,,受到影响。 缓解建议在MOS注2076338.1是可用的,并将作为新的信息变得可用更新。 Oracle WebLogic服务器的补丁正在创建。补丁可用性信息将在MOS注2075927.1更新 官网描述 This Security Alert addresses security issue CVE-2015-4852, a deserialization vulnerability involving Apache Commons and Oracle WebLogic Server. This is a remote code execution vulnerability and is remotely exploitable without authentication, i.e., may be exploited over a network without the need for a username and password. 官方声明: /technetwork/topics/security/alert-cve-2015-4852-2763333.html Weblogic 用户将收到官方的修复支持 Oracle Fusion Middleware Risk Matrix CVE# Component Protocol Sub- component Remote Exploit without Auth.? CVSS VERSION 2.0 RISK (see?Risk Matrix Definitions) Supported Versions Affected Notes Base Score Access Vector Access Complexity Authen- tication Confiden- tiality Integrity Avail- ability CVE-2015-4852 Oracle WebLogic Server T3 WLS Security Yes 7.5 Network Low None Partial+ Partial+ Partial+ ,? , , ? ? ? 解决方法 临时解决方案 1 使用 SerialKiller 替换进行序列化操作的 ObjectInputStream 类; 2 在不影响业务的情况下,临时删除掉项目里的 “org/apache/commons/collections/functors/InvokerTransformer.class” 文件; 官方解决方案1036_Generic补丁PATCH_ID - EJUW Patch number -PSU补丁安装1036_Generic.zip到{MW_HOME}utils/bsu/cache_dir或者其他指定目录(注:必须确保目标目录有读写和执行权限) 进入{MW_HOME}bsu.sh –install –patch_download_dir={MW_HOME}/utils/bsu/cache_dir –patchlist={PATCH_ID} –prod_dir={MW_HOME}/{WL_HOME} 安装后验证 重启所有weblogic server 执行以下命令来确定补丁更新情况 source $WL_HOME/server/bin/setWLSEnv.sh java weblogic.version –verbose 卸载PSU更新 停止所有weblogic server 进入{MW_HOME}/utils/bsu 文件夹 执行如下命令 bsu.sh –remove –patchlist={PATCH_ID} –prod_dir={MW_HOME}/{WL_HOME} weblogic PSU更新记录 安装命令 设置环境变量: weblogic@CMSAPP1:/home/weblogic cd wlserver_10.3/server/bin weblogic@CMSAPP1:

    您可能关注的文档

    最近下载

    文档评论(0)

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >