weblogic反序列补丁安装精要
weblogic 漏洞
处理报告
2016年1月18日漏洞描述
简单来说序列化是将对象状态转换为可保持或传输的格式的过程(bytestream)。与序列化相对的是反序列化,它将流(bytestream)转换为对象。这两个过程结合起来,可以轻松地存储和传输数据平常状况下正常的数据流被反序列化的时候产生的是预期的正常的对象。但是当在进行反序列化的时候,被反序列化的数据是被经过恶意静心构造的,此时反序列化之后就会产生非预期的恶意对象。这个时候就可能引起任意代码执行。
影响版本
Oracle WebLogic服务器,版本,,,受到影响。
缓解建议在MOS注2076338.1是可用的,并将作为新的信息变得可用更新。
Oracle WebLogic服务器的补丁正在创建。补丁可用性信息将在MOS注2075927.1更新
官网描述
This Security Alert addresses security issue CVE-2015-4852, a deserialization vulnerability involving Apache Commons and Oracle WebLogic Server. This is a remote code execution vulnerability and is remotely exploitable without authentication, i.e., may be exploited over a network without the need for a username and password.
官方声明:
/technetwork/topics/security/alert-cve-2015-4852-2763333.html
Weblogic 用户将收到官方的修复支持
Oracle Fusion Middleware Risk Matrix
CVE# Component Protocol Sub-component Remote Exploit without Auth.? CVSS VERSION 2.0 RISK (see?Risk Matrix Definitions) Supported Versions Affected Notes Base Score Access Vector Access Complexity Authen-tication Confiden-tiality Integrity Avail-ability CVE-2015-4852 Oracle WebLogic Server T3 WLS Security Yes 7.5 Network Low None Partial+ Partial+ Partial+ ,? , , ? ?
?
解决方法
临时解决方案
1 使用 SerialKiller 替换进行序列化操作的 ObjectInputStream 类;
2 在不影响业务的情况下,临时删除掉项目里的
“org/apache/commons/collections/functors/InvokerTransformer.class” 文件;
官方解决方案1036_Generic补丁PATCH_ID - EJUW
Patch number -PSU补丁安装1036_Generic.zip到{MW_HOME}utils/bsu/cache_dir或者其他指定目录(注:必须确保目标目录有读写和执行权限)
进入{MW_HOME}bsu.sh –install –patch_download_dir={MW_HOME}/utils/bsu/cache_dir –patchlist={PATCH_ID} –prod_dir={MW_HOME}/{WL_HOME}
安装后验证
重启所有weblogic server
执行以下命令来确定补丁更新情况
source $WL_HOME/server/bin/setWLSEnv.sh
java weblogic.version –verbose
卸载PSU更新
停止所有weblogic server
进入{MW_HOME}/utils/bsu 文件夹
执行如下命令
bsu.sh –remove –patchlist={PATCH_ID} –prod_dir={MW_HOME}/{WL_HOME}
weblogic PSU更新记录
安装命令
设置环境变量:
weblogic@CMSAPP1:/home/weblogic cd wlserver_10.3/server/bin
weblogic@CMSAPP1:
您可能关注的文档
- 光学的含义由来分析.doc
- 光学章末复习-20160609分析.doc
- 光学(绪论)+几何光学1分析.ppt
- 光学竞赛题分析.doc
- 光子晶体发展历程课件分析.pptx
- 光子晶体简介分析.ppt
- 光山二高2016年高三入学地理试题分析.docx
- 光开关的工作原理分析.docx
- 光学透镜巩祥山分析.doc
- 光子人体调节仪分析.ppt
- 小区绿化施工协议书.docx
- 墙面施工协议书.docx
- 1 古诗二首(课件)--2025-2026学年统编版语文二年级下册.pptx
- (2026春新版)部编版八年级道德与法治下册《3.1《公民基本权利》PPT课件.pptx
- (2026春新版)部编版八年级道德与法治下册《4.3《依法履行义务》PPT课件.pptx
- (2026春新版)部编版八年级道德与法治下册《6.2《按劳分配为主体、多种分配方式并存》PPT课件.pptx
- (2026春新版)部编版八年级道德与法治下册《6.1《公有制为主体、多种所有制经济共同发展》PPT课件.pptx
- 初三教学管理交流发言稿.docx
- 小学生课外阅读总结.docx
- 餐饮门店夜经济运营的社会责任报告(夜间贡献)撰写流程试题库及答案.doc
原创力文档

文档评论(0)