WebLogic Server反序列化安全漏洞补丁:CVE-2015-4852;
Apache Commons Collections 3和4,Groovy,Spring,只要目标应用的Class Path中包含这些库,可让readObject()实现任意命令执行。影响比较广泛的就是Apache Commons Collections这个库,中间件基本都会涉及使用此库。
Oracle WebLogic Server, 版本9及10.0.1mp,10.0.2mp,10.3.2,10.3.3,10.3.4.X10.3.5.X,10.3.6.X, 12.1.1.X,12.1.2.X, 12.1.3.X,12.2.1.X;
Oracle WebLogic Server, 版本10.0.1mp,10.0.2mp,10.3.2,10.3.3,10.3.4.X10.3.5.X,10.3.6.X,12.1.1.X, 12.1.2.X, 12.1.3.X, 12.2.1.X;
January 2016 CPU Update:
CVE-2015-4852现在修复包括在下面的weblogic补丁集更新(PSU)和更高PSU:
12.2.1.0.1
12.1.3.0.6
12.1.2.0.8
查出weblogic的版本号之后,根据补丁列表找到对应的补丁包。
需要执行语句修补的步骤如下:
向这个文件夹上传对应的补丁包并解压
/Oracle/Middleware/utils/bsu/bsu.sh -prod_dir=/Oracle/Middleware/wlserver_10.3 -status=applied -verbose –view
如果有老补丁已经安装请确认补丁是否被包含此补丁内,卸载补丁后再安装最新补丁,防止冲突
./bsu.sh -install -patch_download_dir={MW_HOME}/utils/bsu/cache_dir -patchlist={PATCH_ID} -prod_dir={MW_HOME}/{WL_HOME}
为了防止主机连接断开导致安装失败,可以使用后台安装命令
nohup ./bsu.sh -install -patch_download_dir={MW_HOME}/utils/bsu/cache_dir -patchlist={PATCH_ID} -prod_dir={MW_HOME}/{WL_HOME} & tail -f nohup.out
例如:
/Oracle/Middleware/utils/bsu/bsu.sh -install -patch_download_dir=/Oracle/Middleware/utils/bsu/cache_dir -patchlist=K25M -prod_dir=/Oracle/Middleware/wlserver_10.3
安装后查看版本:
设置环境变量:export DISPLAY=192.168.1.2:0.0
执行:
/Oracle/Middleware/utils/bsu/bsu.sh
然后点击’应用’
不在Oracle 生命周期的weblogic产品建议采用MOS建议的T3协议过滤来缓解漏洞带来的危害
10.64.158.0/255.255.254.0 * 7001 allow t3 t3s
引用文档:
http://docs.oracle.com/middleware/1221/wls/SCPRG/con_filtr.htm#SCPRG377
在非Oracle官方的修复方法中,包含以下两种方法:
下载jar包和实施步骤请参考链接:https://github.com/ikkisoft/SerialKiller
下载地址:http://commons.apache.org/proper/commons-collections/download_collections.cgi
建议:原来是3.2.x就替换为3.2.2,原来是4.x就替换为4.4.1,若出现不兼容,请尝试替换另一个版本。
具体方法:
com.bea.core.apache.commons.collections_x.x.x.jar的文件
按照oracle官网所说8和9版本没有反序列漏洞,但是实际中,如果在应用中包含’commons.collections’的jar包,还是会在安全软件中扫描出反序列化漏洞。所以下面有对应版本的不同处理方式
weblogic8和weblogic9版本的反序列化漏洞修补
这两个系列版本的weblogic扫描出反序列化漏洞后,可以通过测试机先行测试,避免操作影响生产运行。可以直接克隆一台虚拟机进行测试,在主机上执行以下语句来查找导致漏洞的jar包
这样就可以解决这两个系列版本的weblogic反序列化漏洞。
上述的解决方案,提出如下建议:
http://www.tuicool.com/articles/ZvMbIne
http://www.2cto.com/article/201604/497315.html
https://github.com/frohoff/ysoserial.gitfrohoff/ysoserial
作者: 王德富
文章转自微信公众号:Oracle一体机用户组
如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!
赞4
添加新评论0 条评论