weblogic反序列補(bǔ)丁安裝.doc

weblogic 漏洞處理報(bào)告2016年1月18日漏洞描述簡單來說序列化是將對象狀態(tài)轉(zhuǎn)換為可保持或傳輸?shù)母袷降倪^程(bytestream)。與序列化相對的是反序列化，它將流(bytestream)轉(zhuǎn)換為對象。這兩個過程結(jié)合起來，可以輕松地存儲和傳輸數(shù)據(jù)平常狀況下正常的數(shù)據(jù)流被反序列化的時候產(chǎn)生的是預(yù)期的正常的對象。但是當(dāng)在進(jìn)行反序列化的時候，被反序列化的數(shù)據(jù)是被經(jīng)過惡意靜心構(gòu)造的，此時反序列化之后就會產(chǎn)生非預(yù)期的惡意對象。這個時候就可能引起任意代碼執(zhí)行。影響版本Oracle WebLogic服務(wù)器，版本，，，受到影響。緩解建議在MOS注2076338.1是可用的，并將作為新的信息變得可用更新。Oracle WebLogic服務(wù)器的補(bǔ)丁正在創(chuàng)建。補(bǔ)丁可用性信息將在MOS注2075927.1更新官網(wǎng)描述This Security Alert addresses security issue CVE-2015-4852, a deserialization vulnerability involving Apache Commons and Oracle WebLogic Server. This is a remote code execution vulnerability and is remotely exploitable without authentication, i.e., may be exploited over a network without the need for a username and password.官方聲明:/technetwork/topics/security/alert-cve-2015-4852-2763333.htmlWeblogic 用戶將收到官方的修復(fù)支持Oracle Fusion Middleware Risk MatrixCVE#ComponentProtocolSub-componentRemote Exploit without Auth.?CVSS VERSION 2.0 RISK (seeRisk Matrix Definitions)Supported Versions AffectedNotesBase ScoreAccess VectorAccess ComplexityAuthen-ticationConfiden-tialityIntegrityAvail-abilityCVE-2015-4852Oracle WebLogic ServerT3WLS SecurityYes7.5NetworkLowNonePartial+Partial+Partial+, , ,解決方法臨時解決方案1 使用 SerialKiller 替換進(jìn)行序列化操作的 ObjectInputStream 類；2 在不影響業(yè)務(wù)的情況下，臨時刪除掉項(xiàng)目里的“org/apache/commons/collections/functors/InvokerTransformer.class” 文件；官方解決方案：p20780171_1036_Generic補(bǔ)丁PATCH_ID - EJUWPatch number - 20780171PSU補(bǔ)丁安裝Oracle weblogic補(bǔ)丁更新安裝準(zhǔn)備1. 停止所有的weblogic服務(wù)器2. 刪除任何以前應(yīng)用的服務(wù)器補(bǔ)丁更新和相關(guān)覆蓋補(bǔ)丁安裝Oracle weblogic補(bǔ)丁更新（for ）1. 解壓p20780171_1036_Generic.zip到MW_HOME/utils/bsu/cache_dir或者其他指定目錄（注：必須確保目標(biāo)目錄有讀寫和執(zhí)行權(quán)限）2. 進(jìn)入MW_HOME/utils/bsu文件夾3. 執(zhí)行如下命令：bsu.sh install patch_download_dir=MW_HOME/utils/bsu/cache_dir patchlist=PATCH_ID prod_dir=MW_HOME/WL_HOME安裝后驗(yàn)證1. 重啟所有weblogic server2. 執(zhí)行以下命令來確定補(bǔ)丁更新情況a) source $WL_HOME/server/bin/setWLSEnv.shb) java weblogic.version verbose卸載PSU更新1. 停止所有weblogic server2. 進(jìn)入MW_HOME/utils/bsu 文件夾3. 執(zhí)行如下命令bsu.sh remove patchlist=PATCH_ID prod_dir=MW_HOME/WL_HOMEweblogic PSU更新記錄1. 安裝命令設(shè)置環(huán)境變量：weblogicCMSAPP1:/home/weblogic cd wlserver_10.3/server/binweblogicCMSAPP1:/home/weblogic/wlserver_10.3/server/bin source setWLSEnv.sh CLASSPATH=/home/weblogic/patch_wls1036/profiles/default/sys_manifest_classpath/weblogic_patch.jar:/home/weblogic/patch_ocp371/profiles/default/sys_manifest_classpath/weblogic_patch.jar:/usr/java/jdk1.6.0_45/lib/tools.jar:/home/weblogic/wlserver_10.3/server/lib/weblogic_sp.jar:/home/weblogic/wlserver_10.3/server/lib/weblogic.jar:/home/weblogic/modules/features/weblogic.server.modules_.jar:/home/weblogic/wlserver_10.3/server/lib/webservices.jar:/home/weblogic/modules/org.apache.ant_1.7.1/lib/ant-all.jar:/home/weblogic/modules/net.sf.antcontrib__1-0b2/lib/ant-contrib.jar:.:/usr/java/jdk1.6.0_45/lib/dt.jar:/usr/java/jdk1.6.0_45/lib/tools.jarPATH=/home/weblogic/wlserver_10.3/server/bin:/home/weblogic/modules/org.apache.ant_1.7.1/bin:/usr/java/jdk1.6.0_45/jre/bin:/usr/java/jdk1.6.0_45/bin:/usr/java/jdk1.6.0_45/bin:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/X11R6/bin:/usr/games:/usr/lib/mit/bin:/usr/lib/mit/sbinYour environment has been set.查看當(dāng)前版本：weblogicCMSAPP1:/home/weblogic/wlserver_10.3/server/bin java weblogic.version -verbose在/home/weblogic/utils/bsu/下創(chuàng)建目錄cache_dir拷貝介質(zhì)到此文件夾后解壓：weblogicCMSAPP2:/utils/bsu/cache_dir unzip p20780171_1036_Generic.zip Archive: p20780171_1036_Generic.zip extracting: EJUW.jar inflating: patch-catalog_22958.xml inflating: README.txt 修改xml文件名稱并修改權(quán)限weblogicCMSAPP2:/utils/bsu/cache_dir mv patch-catalog_22958.xml patch-catalog.xml weblogicCMSAPP2:/utils/bsu/cache_dir ll總用量 200028-rw-r-r- 1 weblogic weblogic 81683240 6月 18 2015 EJUW.jar-rwxr-xr-x 1 weblogic weblogic 84307469 1月 14 14:43 p20780171_1036_Generic.zip-rwxr-xr-x 1 weblogic weblogic 3212585 1月 14 14:43 p22248372_1036012_Generic.zip-rw-r-r- 1 weblogic weblogic 35386135 5月 28 2015 patch-catalog.xml-rw-rw-r- 1 weblogic weblogic 6822 6月 23 2015 README.txtweblogicCMSAPP2:/utils/bsu/cache_dir chmod +x