java反序列化漏洞解决方案

测解决方案是针对weblogic10.3.6.0版本的

  方案一：
  删除weblogic中com.bea.core.apache.commons.collections_3.2.0.jar包中的InvokerTransformer.class这个class文件，即可解决。
        位置为：C:\Oracle\Middleware\modules下
  方案二：
        为weblogic打补丁，我们的weblogic版本为10.3.6.0打补丁版本为：p22248372。
  我用的是方案一解决这个问题，方案二估计也可，但没经过测试，以上仅供各位参考。

打补丁步骤：

 1、先把p20780171_1036_Generic (2).zip、p22248372_1036012_Generic.zip解压到E:\Oracle\Middleware\utils\bsu\cache_dir

  2、bsu.cmd -install -patch_download_dir=C:\Oracle\Middleware\utils\bsu\cache_dir -patchlist=EJUW -prod_dir=C:\Oracle\Middleware\wlserver_10.3

注：

 bsu.sh -install -patch_download_dir={MW_HOME}/util/bsu/cache_dir -patchlist={PATCH_ID} -prod_dir={MW_HOME}/{WL_HOME}
(命令中<WLS_HOME>是您Weblogic的安装目录，74U3是对应补丁的Patch号) 

漏洞验证方法：

  检测工具为：CommonsCollectionsTools.jar；
  在java环境下，cmd中使用命令： java -jar CommonsCollectionsTools.jar weblogic ip（--服务器ip） Port（--要测试端口好） /Tmp（要存放目录）/1.txt(文件名)