weblogic uddiexplorer漏洞解决方法

大体调查下是weblogic对外提供了uddi方式的服务,而攻击者借用这一个对外公布服务进行的攻击。

 

关于oracle产品 uddi漏洞,看了篇文章
http://blog.gdssecurity.com/labs/2015/3/30/weblogic-ssrf-and-xss-cve-2014-4241-cve-2014-4210-cve-2014-4.html

说oracle发布了对应的更新包

CPU = Critical Patch Update 更新包
 http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html


可以根据oralce官方提供的文档,进行修复。



最终我采用下面方法进行解决(如果你的应用没有使用uddiexplorer服务,你可以按照我下面方式来搞)

/app/bea/weblogic92/server/lib/uddiexplorer.war,解压后,注释掉下图的对应jsp,再进行打包,替换之前的/app/bea/weblogic92/server/lib/uddiexplorer.war

发现通过http://ip:port/uddiexplorer/SearchPublicRegistries.jsp 访问页面,无法找到,报404错误。

 
上面方法改的是weblogic92/server/lib公共部分,改后,应该适用weblogic下面建的所有域。

你可能感兴趣的:(weblogic)