weblogic反序列补丁安装

weblogic漏洞处理报告2016年1月18日漏洞描述简单来说序列化是将对象状态转换为可保持或传输的格式的过程(bytestream)。与序列化相对的是反序列化，它将流(bytestream)转换为对象。这两个过程结合起来，可以轻松地存储和传输数据平常状况下正常的数据流被反序列化的时候产生的是预期的正常的对象。但是当在进行反序列化的时候，被反序列化的数据是被经过恶意静心构造的，此时反序列化之后就会产生非预期的恶意对象。这个时候就可能引起任意代码执行。影响版本OracleWebLogic服务器，版本10.3.6.0，12.1.2.0，12.1.3.0，12.2.1.0受到影响。缓解建议在MOS注2076338.1是可用的，并将作为新的信息变得可用更新。OracleWebLogic服务器的补丁正在创建。补丁可用性信息将在MOS注2075927.1更新官网描述ThisSecurityAlertaddressessecurityissueCVE-2015-4852,adeserializationvulnerabilityinvolvingApacheCommonsandOracleWebLogicServer.Thisisaremotecodeexecutionvulnerabilityandisremotelyexploitablewithoutauthentication,i.e.,maybeexploitedoveranetworkwithouttheneedforausernameandpassword.官方声明:用户将收到官方的修复支持OracleFusionMiddlewareRiskMatrixCVE#ComponentProtocolSub-componentRemoteExploitwithoutAuth.?CVSSVERSION2.0RISK(seeRiskMatrixDefinitions)SupportedVersionsAffectedNotesBaseScoreAccessVectorAccessComplexityAuthen-ticationConfiden-tialityIntegrityAvail-abilityCVE-2015-4852OracleWebLogicServerT3WLSSecurityYes7.5NetworkLowNonePartial+Partial+Partial+10.3.6.0,12.1.2.0,12.1.3.0,12.2.1.0解决方法临时解决方案1使用SerialKiller替换进行序列化操作的ObjectInputStream类；2在不影响业务的情况下，临时删除掉项目里的“org/apache/commons/collections/functors/InvokerTransformer.class”文件；官方解决方案：p20780171_1036_Generic补丁PATCH_ID-EJUWPatchnumber-20780171PSU补丁安装Oracleweblogic补丁更新安装准备1.停止所有的weblogic服务器2.删除任何以前应用的服务器补丁更新和相关覆盖补丁安装Oracleweblogic补丁更新（for10.3.6.0）1.解压p20780171_1036_Generic.zip到｛MW_HOME｝/utils/bsu/cache_dir或者其他指定目录（注：必须确保目标目录有读写和执行权限）2.进入｛MW_HOME｝/utils/bsu文件夹3.执行如下命令：bsu.sh–install–patch_download_dir={MW_HOME}/utils/bsu/cache_dir–patchlist={PATCH_ID}–prod_dir={MW_HOME}/{WL_HOME}安装后验证1.重启所有weblogicserver2.执行以下命令来确定补丁更新情况a)source$WL_HOME/server/bin/setWLSEnv.shb)javaweblogic.version–verbose卸载PSU更新1.停止所有weblogicserver2.进入{MW_HOME}/utils/bsu文件夹3.执行如下命令bsu.sh–remove–patchlist={PATCH_ID}–prod_dir={MW_HOME}/{WL_HOME}weblogicPSU更新记录1.安装命令设置环境变量：weblogic@CMSAPP1:/home/weblogiccdwlserver_10.3/server/binweblogic@CMSAPP1:/home/weblogic/wlserver_10.3/server/binsourcesetWLSEnv.shCLASSPATH=/home/weblogic/patch_wls1036/profiles/default/sys_manifest_classpath/weblogic_patch.jar:/home/weblogic/patch_ocp371/profiles/default/sys_manifest_classpath/weblogic_patch.jar:/usr/java/jdk1.6.0_45/lib/tools.jar:/home/weblogic/wlserver_10.3/server/lib/weblogic_sp.jar:/home/weblogic/wlserver_10.3/server/lib/weblogic.jar:/home/weblogic/modules/features/weblogic.server.modules_10.3.6.0.jar:/home/weblogic/wlserver_10.3/server/lib/webservices.jar:/home/weblogic/modules/org.apache.ant_1.7.1/lib/ant-all.jar:/home/weblogic/modules/net.sf.antcontrib_1.1.0.0_1-0b2/lib/ant-contrib.jar:.:/usr/java/jdk1.6.0_45/lib/dt.jar:/usr/java/jdk1.6.0_45/lib/tools.jarPATH=/home/weblogic/wlserver_10.3/server/bin:/home/weblogic/modules/org.apache.ant_1.7.1/bin:/usr/java/jdk1.6.0_45/jre/bin:/usr/java/jdk1.6.0_45/bin:/usr/java/jdk1.6.0_45/bin:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/X11R6/bin:/usr/games:/usr/lib/mit/bin:/usr/lib/mit/sbinYourenvironmenthasbeenset.查看当前版本：weblogic@CMSAPP1:/home/weblogic/wlserver_10.3/server/binjavaweblogic.version-verbose在/home/weblogic/utils/bsu/下创建目录cache_dir拷贝介质到此文件夹后解压：weblogic@CMSAPP2:~/utils/bsu/cache_dirunzipp20780171_1036_Generic.zipArchive:p20780171_1036_Generic.zipextracting:EJUW.jarinflating:patch-catalog_22958.xmlinflating:README.txt修改xml文件名称并修改权限weblogic@CMSAPP2:~/utils/bsu/cache_dirmvpatch-catalog_22958.xmlpatch-catalog.xmlweblogic@CMSAPP2:~/utils/bsu/cache_dirll总用量200028-rw-r--r--1weblogicweblogic816832406月182015EJUW.jar-rwxr-xr-x1weblogicweblogic843074691月1414:43p20780171_1036_Generic.zip-rwxr-xr-x1weblogicweblogic32125851月1414:43p22248372_1036012_Generic.zip-rw-r--r--1weblogicweblogic353861355月282015patch-catalog.xml-rw-rw-r--1weblogicweblogic68226月232015README.txtweblogic@CMSAPP2:~/utils/bsu/cache_dirchmod+x*修改bsu.sh中的内存后执行脚本weblogic@CMSAPP2:~/utils/bsu./bsu.sh-install-patch_download_dir=/home/weblogic/utils/bsu/cache_dir/-patchlist=EJUW-prod_dir=/home/weblogic/wlserver_10.3/检查冲突...未检测到冲突正在安装补丁程序ID:EJUW..结果:成功