Java反序列化漏洞修复方案

据Oracle、Cert及我们自测，受影响版本包括但不限于：
- 9.2.3.0
- 9.2.4.0
- 10.0.0.0
- 10.0.1.0
- 10.0.2.0
- 10.2.6.0
- 10.3.0.0
- 10.3.1.0
- 10.3.2.0
- 10.3.3.0
- 10.3.4.0
- 10.3.5.0
- 10.3.6.0
- 12.1.1.0
- 12.1.2.0
- 12.1.3.0
- 12.2.1.0

JAVA反序列化漏洞检测工具

下载地址：
http://download.csdn.net/detail/igangnamstyle/9494215

运行 java - jar WebLogic_EXP.jar

非oracle官方修复方法（需重启weblogic）：
Apache官方最近发布了commons-collections的新版本，下载地址：
http://commons.apache.org/proper/commons-collections/download_collections.cgi
或
http://download.csdn.net/detail/igangnamstyle/9494217

修复方法为替换有漏洞的commons-collections组件
建议：原来是3.2.x就替换为3.2.2，原来是4.x就替换为4.4.1
若出现不兼容，请尝试替换另一个版本
下面提供两个实例：
修复实例1：
环境：windows7 + weblogic 10.3.3.0
先停止weblogic，在中间件modules目录下存在名为
com.bea.core.apache.commons.collections_x.x.x.jar的文件

下载最新的commons-collections（bin包，不是源码包），
用压缩包中的commons-collections-3.2.2.jar替换掉有漏洞的jar包
注：保持原jar包的名字，即名字不变换掉jar包
启动weblogic

修复实例2：
环境：CentOS7 + weblogic 10.3.3.0
先停止weblogic，在中间件modules目录下存在名为
com.bea.core.apache.commons.collections_x.x.x.jar的文件

下载最新的commons-collections（bin包，不是源码包），
用压缩包中的commons-collections-3.2.2.jar替换掉有漏洞的jar包
注：保持原jar包的名字，即名字不变换掉jar包
启动weblogic