Java反序列化漏洞修复方案
2016-04-18 09:56
633 查看
据Oracle、Cert及我们自测,受影响版本包括但不限于:
- 9.2.3.0
- 9.2.4.0
- 10.0.0.0
- 10.0.1.0
- 10.0.2.0
- 10.2.6.0
- 10.3.0.0
- 10.3.1.0
- 10.3.2.0
- 10.3.3.0
- 10.3.4.0
- 10.3.5.0
- 10.3.6.0
- 12.1.1.0
- 12.1.2.0
- 12.1.3.0
- 12.2.1.0
JAVA反序列化漏洞检测工具
下载地址:
http://download.csdn.net/detail/igangnamstyle/9494215
运行 java - jar WebLogic_EXP.jar
非oracle官方修复方法(需重启weblogic):
Apache官方最近发布了commons-collections的新版本,下载地址:
http://commons.apache.org/proper/commons-collections/download_collections.cgi
或
http://download.csdn.net/detail/igangnamstyle/9494217
修复方法为替换有漏洞的commons-collections组件
建议:原来是3.2.x就替换为3.2.2,原来是4.x就替换为4.4.1
若出现不兼容,请尝试替换另一个版本
下面提供两个实例:
修复实例1:
环境:windows7 + weblogic 10.3.3.0
先停止weblogic,在中间件modules目录下存在名为
com.bea.core.apache.commons.collections_x.x.x.jar的文件
下载最新的commons-collections(bin包,不是源码包),
用压缩包中的commons-collections-3.2.2.jar替换掉有漏洞的jar包
注:保持原jar包的名字,即名字不变换掉jar包
启动weblogic
修复实例2:
环境:CentOS7 + weblogic 10.3.3.0
先停止weblogic,在中间件modules目录下存在名为
com.bea.core.apache.commons.collections_x.x.x.jar的文件
下载最新的commons-collections(bin包,不是源码包),
用压缩包中的commons-collections-3.2.2.jar替换掉有漏洞的jar包
注:保持原jar包的名字,即名字不变换掉jar包
启动weblogic
- 9.2.3.0
- 9.2.4.0
- 10.0.0.0
- 10.0.1.0
- 10.0.2.0
- 10.2.6.0
- 10.3.0.0
- 10.3.1.0
- 10.3.2.0
- 10.3.3.0
- 10.3.4.0
- 10.3.5.0
- 10.3.6.0
- 12.1.1.0
- 12.1.2.0
- 12.1.3.0
- 12.2.1.0
JAVA反序列化漏洞检测工具
下载地址:
http://download.csdn.net/detail/igangnamstyle/9494215
运行 java - jar WebLogic_EXP.jar
非oracle官方修复方法(需重启weblogic):
Apache官方最近发布了commons-collections的新版本,下载地址:
http://commons.apache.org/proper/commons-collections/download_collections.cgi
或
http://download.csdn.net/detail/igangnamstyle/9494217
修复方法为替换有漏洞的commons-collections组件
建议:原来是3.2.x就替换为3.2.2,原来是4.x就替换为4.4.1
若出现不兼容,请尝试替换另一个版本
下面提供两个实例:
修复实例1:
环境:windows7 + weblogic 10.3.3.0
先停止weblogic,在中间件modules目录下存在名为
com.bea.core.apache.commons.collections_x.x.x.jar的文件
下载最新的commons-collections(bin包,不是源码包),
用压缩包中的commons-collections-3.2.2.jar替换掉有漏洞的jar包
注:保持原jar包的名字,即名字不变换掉jar包
启动weblogic
修复实例2:
环境:CentOS7 + weblogic 10.3.3.0
先停止weblogic,在中间件modules目录下存在名为
com.bea.core.apache.commons.collections_x.x.x.jar的文件
下载最新的commons-collections(bin包,不是源码包),
用压缩包中的commons-collections-3.2.2.jar替换掉有漏洞的jar包
注:保持原jar包的名字,即名字不变换掉jar包
启动weblogic
相关文章推荐
- Java反序列化漏洞之Weblogic、Jboss利用之payload生成工具
- 学习手册:JAVA序列化和反序列化及漏洞补救
- Java反序列化漏洞详解
- java-static关键字
- Eclipse Maven插件使用
- Java代码输出是“father”还是“child”(二)
- hadoop的序列化与java的序列化区别
- Maven那点事儿(Eclipse版)
- Spring_source_thinking01
- eclipse+weblogic debug模式下会报source not found
- Java NIO 之一 I/O基本概念
- Spring请求参数为一个数组
- java性能优化常用技巧
- java 的 @Override
- Java 冒泡排序
- Java序列化
- jdk环境变量的设置
- Java基础第一章
- eclipse中常用快捷键总结、提高开发效率
- java设计模式简要