weblogic uddiexplorer漏洞解决方法

大体调查下是weblogic对外提供了uddi方式的服务，而攻击者借用这一个对外公布服务进行的攻击。

 

关于oracle产品 uddi漏洞，看了篇文章
http://blog.gdssecurity.com/labs/2015/3/30/weblogic-ssrf-and-xss-cve-2014-4241-cve-2014-4210-cve-2014-4.html

说oracle发布了对应的更新包

CPU = Critical Patch Update 更新包
 http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html

可以根据oralce官方提供的文档，进行修复。

最终我采用下面方法进行解决（如果你的应用没有使用uddiexplorer服务，你可以按照我下面方式来搞）

/app/bea/weblogic92/server/lib/uddiexplorer.war，解压后，注释掉下图的对应jsp，再进行打包，替换之前的/app/bea/weblogic92/server/lib/uddiexplorer.war

发现通过http://ip:port/uddiexplorer/SearchPublicRegistries.jsp 访问页面，无法找到，报404错误。

 

上面方法改的是weblogic92/server/lib公共部分，改后，应该适用weblogic下面建的所有域。