Java反序列化漏洞修复方案

据Oracle、Cert及我们自测,受影响版本包括但不限于:
- 9.2.3.0
- 9.2.4.0
- 10.0.0.0
- 10.0.1.0
- 10.0.2.0
- 10.2.6.0
- 10.3.0.0
- 10.3.1.0
- 10.3.2.0
- 10.3.3.0
- 10.3.4.0
- 10.3.5.0
- 10.3.6.0
- 12.1.1.0
- 12.1.2.0
- 12.1.3.0
- 12.2.1.0

JAVA反序列化漏洞检测工具

下载地址:
http://download.csdn.net/detail/igangnamstyle/9494215

运行 java - jar WebLogic_EXP.jar

非oracle官方修复方法(需重启weblogic):
Apache官方最近发布了commons-collections的新版本,下载地址:
http://commons.apache.org/proper/commons-collections/download_collections.cgi

http://download.csdn.net/detail/igangnamstyle/9494217

修复方法为替换有漏洞的commons-collections组件
建议:原来是3.2.x就替换为3.2.2,原来是4.x就替换为4.4.1
若出现不兼容,请尝试替换另一个版本
下面提供两个实例:
修复实例1:
环境:windows7 + weblogic 10.3.3.0
先停止weblogic,在中间件modules目录下存在名为
com.bea.core.apache.commons.collections_x.x.x.jar的文件

下载最新的commons-collections(bin包,不是源码包),
用压缩包中的commons-collections-3.2.2.jar替换掉有漏洞的jar包
注:保持原jar包的名字,即名字不变换掉jar包
启动weblogic

修复实例2:
环境:CentOS7 + weblogic 10.3.3.0
先停止weblogic,在中间件modules目录下存在名为
com.bea.core.apache.commons.collections_x.x.x.jar的文件

下载最新的commons-collections(bin包,不是源码包),
用压缩包中的commons-collections-3.2.2.jar替换掉有漏洞的jar包
注:保持原jar包的名字,即名字不变换掉jar包
启动weblogic

你可能感兴趣的:(MiddleWare)