Java反序列化漏洞修复方案

据Oracle、Cert及我们自测，受影响版本包括但不限于：

- 9.2.3.0

- 9.2.4.0

- 10.0.0.0

- 10.0.1.0

- 10.0.2.0

- 10.2.6.0

- 10.3.0.0

- 10.3.1.0

- 10.3.2.0

- 10.3.3.0

- 10.3.4.0

- 10.3.5.0

- 10.3.6.0

- 12.1.1.0

- 12.1.2.0

- 12.1.3.0

- 12.2.1.0

JAVA反序列化漏洞检测工具

下载地址：

http://download.csdn.net/detail/igangnamstyle/9494215

运行 java - jar WebLogic_EXP.jar

非oracle官方修复方法（需重启weblogic）：

Apache官方最近发布了commons-collections的新版本，下载地址：

http://commons.apache.org/proper/commons-collections/download_collections.cgi

或

http://download.csdn.net/detail/igangnamstyle/9494217

修复方法为替换有漏洞的commons-collections组件

建议：原来是3.2.x就替换为3.2.2，原来是4.x就替换为4.4.1

若出现不兼容，请尝试替换另一个版本

下面提供两个实例：

修复实例1：

环境：windows7 + weblogic 10.3.3.0

先停止weblogic，在中间件modules目录下存在名为

com.bea.core.apache.commons.collections_x.x.x.jar的文件

下载最新的commons-collections（bin包，不是源码包），

用压缩包中的commons-collections-3.2.2.jar替换掉有漏洞的jar包

注：保持原jar包的名字，即名字不变换掉jar包

启动weblogic

修复实例2：

环境：CentOS7 + weblogic 10.3.3.0

先停止weblogic，在中间件modules目录下存在名为

com.bea.core.apache.commons.collections_x.x.x.jar的文件

下载最新的commons-collections（bin包，不是源码包），

用压缩包中的commons-collections-3.2.2.jar替换掉有漏洞的jar包

注：保持原jar包的名字，即名字不变换掉jar包

启动weblogic