weblogic 漏洞
处理报告
2016118
漏洞描述女明星的素颜照
简单来说序列化是将对象状态转换为可保持或传输的格式的过程(bytestream)。与序列化相对的是反序列化,它将流(bytestream)转换为对象。这两个过程结合起来,可以轻松地存储和传输数据
平常状况下正常的数据流被反序列化的时候产生的是预期的正常的对象。但是当在进行反序列化的时候,被反序列化的数据是被经过恶意静心构造的,此时反序列化之后就会产生非预期的恶意对象。这个时候就可能引起任意代码执行。
影响版本
时尚穿衣
Oracle WebLogic服务器,版本10.3.6.0网上订火车票怎么取票12.1.2.012.1.3.012.2.1.0受到影响。
缓解建议在MOS2076338.1是可用的,并将作为新的信息变得可用更新。
Oracle WebLogic服务器的补丁正在创建。补丁可用性信息将在MOS2075927.1更新
描述
This Security Alert addresses security issue CVE-2015-4852, a deserialization vulnerability involving Apache Commons and Oracle WebLogic Server. This is a remote code execution vulnerability and is remotely exploitable without authentication, i.e., may be exploited over a network without the need for a username and password.
官方声明:
acle/technetwork/topics/security/alert-cve-2015-4852-2763333.html
Weblogic 用户将收到官方的修复支持
Oracle Fusion Middleware Risk Matrix
CVE#
Component
Protocol
Sub-
component
Remote Exploit without Auth.?
CVSS VERSION 2.0 RISK (see Risk Matrix Definitions)
Supported Versions Affected七夕祝福语送老婆简短
Notes
Base Score
Access Vector
Access Complexity
Authen-
tication
Confiden-
tiality
Integrity
Avail-
ability
CVE-2015-4852
Oracle WebLogic Server
T3
WLS Security
Yes
7.5
Network
Low
None
Partial+
Partial+
Partial+
10.3.6.0,  12.1.2.0, 12.1.3.0,
12.2.1.0
 
 
 
解决方法
临时解决方案
1 使用 SerialKiller 替换进行序列化操作的 ObjectInputStream 类;
2 在不影响业务的情况下,临时删除掉项目里的
“org/apache/commons/collections/functors/InvokerTransformer.class” 文件;
官方解决方案:
    p20780171_1036_Generic补丁
PATCH_ID - EJUW
Patch number - 20780171
PSU补丁安装
Oracle weblogic补丁更新安装准备
1. 停止所有的weblogic服务器
2. 删除任何以前应用的服务器补丁更新和相关覆盖补丁
安装Oracle weblogic补丁更新(for 10.3.6.0)
1. 解压p20780171_1036_Generic.zip到{MW_HOME}/utils/bsu/cache_dir或者其他指定目录(注:必须确保目标目录有读写和执行权限)
2. 进入{MW_HOME}/utils/bsu文件夹
3. 执行如下命令:
bsu.sh –install –patch_download_dir={MW_HOME}/utils/bsu/cache_dir –patchlist={PATCH_ID} –prod_dir={MW_HOME}/{WL_HOME}
安装后验证
1. 重启所有weblogic server
2. 执行以下命令来确定补丁更新情况
a) source $WL_HOME/server/bin/setWLSEnv.sh
酱牛肉怎么做b) java weblogic.version –verbose
卸载PSU更新
1. 停止所有weblogic server
2. 进入{MW_HOME}/utils/bsu 文件夹
3. 执行如下命令
bsu.sh –remove –patchlist={PATCH_ID} –prod_dir={MW_HOME}/{WL_HOME}
weblogic PSU更新记录
1. 安装命令
设置环境变量:
weblogic@CMSAPP1:/home/weblogic> cd wlserver_10.3/server/bin
渺渺
weblogic@CMSAPP1:/home/weblogic/wlserver_10.3/server/bin> source setWLSEnv.sh
CLASSPATH=/home/weblogic/patch_wls1036/profiles/default/sys_manifest_classpath/weblogic_patch.jar:/home/weblogic/patch_ocp371/profiles/default/sys_manifest_classpath/weblogic_patch.jar:/usr/java/jdk1.6.0_45/lib/tools.jar:/home/weblogic/wlserver_10.3/server/lib/weblogic_sp.jar:/home/weblogic/wlserver_10.3/server/lib/weblogic.jar:/home/weblogic/modules/features/dules_10.3.6.0.jar:/home/weblogic/wlserver_10.3/server/lib/webservices.jar:/home/weblogic/modules/org.apache.ant_1.7.1/lib/ant-all.jar:/home/weblogic/modules/net.sf.antcontrib_1.1.0.0_1-0b2/lib/ant-contrib.jar:.:/usr/java/jdk1.6.0_45/lib/dt.jar:/usr/java/jdk1.6.0_45/lib/tools.jar
PATH=/home/weblogic/wlserver_10.3/server/bin:/home/weblogic/modules/org.apache.ant_1.7.1/bin:/usr/java/jdk1.6.0_45/jre/bin:/usr/java/jdk1.6.0_45/bin:/usr/java/jdk1.6.0_45/bin:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/X11R6/bin:/usr/games:/usr/lib/mit/bin:/usr/lib/mit/sbin
Your environment has been set.
查看当前版本:
weblogic@CMSAPP1:/home/weblogic/wlserver_10.3/server/bin> java weblogic.version -verbose
在/home/weblogic/utils/bsu/下创建目录cache_dir拷贝介质到此文件夹后解压:
weblogic@CMSAPP2:~/utils/bsu/cache_dir> unzip p20780171_1036_Generic.zip
Archive:  p20780171_1036_Generic.zip
extracting: EJUW.jar               
  inflating: l 
  inflating:    
 
修改xml文件名称并修改权限
weblogic@CMSAPP2:~/utils/bsu/cache_dir> mv l
weblogic@CMSAPP2:~/utils/bsu/cache_dir> ll