WebLogic 组件反序列化漏洞补丁升级操作手册

Weblogic补丁升级操作手册

版本查询

cd /usr/weblogic/Oracle/Middleware/utils/bsu

./bsu.sh -prod_dir=/usr/weblogic/Oracle/Middleware/wlserver_10.3/ -status=applied -verbose -view

cd /usr/weblogic/Oracle/Middleware/wlserver_10.3/server/bin

source ./setWLSEnv.sh

java weblogic.version

在weblogic控制台主页>服务器概要>AdminServer >监视 >一般信息中也能查到版本

补丁安装

cd /usr/weblogic/Oracle/Middleware/utils/bsu

如果有使用过bsu.sh，则会有cache_dir目录，否则请新建或执行bsu.sh生成。

上传patch至cache_dir目录并解压

unzip p2*******_1036_Generic_psu12.zip

解压出来的jar名就是Patch ID，是后面安装的参数。

停止服务，并确认无相关进程

./bsu.sh -install-patch_download_dir=/usr/weblogic/Oracle/Middleware/utils/bsu/cache_dir -patchlist=EJUW -prod_dir=/usr/weblogic/Oracle/Middleware/wlserver_10.3 -verbose

weblogic 漏洞处理报告

2016年1月18日

漏洞描述

简单来说序列化是将对象状态转换为可保持或传输的格式的过程(bytestream)。与序列化相对的是反序列化，它将流(bytestream)转换为对象。这两个过程结合起来，可以轻松地存储和传输数据

平常状况下正常的数据流被反序列化的时候产生的是预期的正常的对象。但是当在进行反序列化的时候，被反序列化的数据是被经过恶意静心构造的，此时反序列化之后就会产生非预期的恶意对象。这个时候就可能引起任意代码执行。

影响版本

Oracle WebLogic服务器，版本10.3.6.0，12.1.2.0，12.1.3.0，12.2.1.0受到影响。

缓解建议在MOS注2076338.1是可用的，并将作为新的信息变得可用更新。

Oracle WebLogic服务器的补丁正在创建。补丁可用性信息将在MOS注2075927.1更新官网描述

This Security Alert addresses security issue CVE-2015-4852, a deserialization vulnerability involving Apache Commons and Oracle WebLogic Server. This is a remote code execution vulnerability and is remotely exploitable without authentication, i.e., may be exploited over a network without the need for a username and password.

weblogic 反序列化补丁步骤

（1）环境备份

（2）cd

修改bsu.sh(设置jvm内存参数)

MEM_ARGS="-Xms2048m -Xmx2048m"

创建补丁目录，并放置补丁文件（附件中的jar包和xml文件）

mkdircache_dir

（3）查看系统/补丁版本

sh bsu.sh -prod_dir=/sys/weblogic/wlserver_10.3 -status=applied -verbose -view

（4）打包weblogic目录（根据实际情况选其中一种打包）：

在/sys下打包：

tar -cvzfweblogic.`date +%Y%m%d`.tgz weblogic/

在/sys/weblogic打包

tar -cvzfweblogic.`date +%Y%m%d`.tgz ./*

（5）停止所有server

（6）删除冲突补丁(通过步骤三来判断是否需要删除)

sh bsu.sh -remove -patchlist=Z4W7 -prod_dir=/sys/weblogic/wlserver_10.3 （7）打补丁

sh bsu.sh -prod_dir=/sys/weblogic/wlserver_10.3 -patchlist=S8C2 -verbose -install

（8）启动所有server，验证

注意事项：

1.打补丁的时候不要做其他操作

2.同一个domain下补丁版本要一致。

3.windows要停掉server才能打补丁，否则容易失败

Weblogic补丁部署方案

目录

一、补丁部署 (3)

1. 启动weblogic服务测试 (3)

2. 打补丁 (4)

3. 安装后重启weblogic服务 (5)

4. 删除补丁 (6)

一、补丁部署

1. 启动weblogic服务测试检查日志描述

检查服务版本

检查console端版本

2. 打补丁

停止所有的weblogic服务进程

在路径/home/weblogic/Oracle/Middleware/utils/bsu下新建文件夹cache_dir，将上传的补丁包程序在cache_dir内进行加压，使用命令：

进入weblogic补丁升级目录：

修改smartupdate工具脚本

在路径/home/weblogic/Oracle/Middleware/utils/bsu下面执行smartupdate命令：

安装过程：

3. 安装后重启weblogic服务

安装完成后重启weblogic服务，检查日志，确认补丁是否已经成功升级

4. 删除补丁

如果需要删除补丁，在路径/home/weblogic/Oracle/Middleware/utils/bsu下执行以下命令进行删除。

删除原有补丁，执行命令：

删除后，检查：

weblogic反序列化漏洞原理

Weblogic反序列化漏洞是指通过Weblogic服务器的T3协议，

攻击者可以向服务器发送恶意序列化数据包，以此来执行任意代码、获取服务器敏感信息或是篡改服务器数据的一种漏洞。该漏洞的原因是Weblogic服务器在处理T3协议时使用了Java的序列化和反序列

化机制，而Java序列化和反序列化机制本身存在安全问题。攻击者

通过构造恶意的序列化数据包，可以让服务器在反序列化时执行恶意代码或是获取敏感信息。

这种漏洞的危害性非常大，攻击者可以利用该漏洞进行各种攻击，比如执行任意代码、控制服务器、窃取敏感信息等。

为了防止Weblogic反序列化漏洞的攻击，建议管理员采取以下

措施：

1.升级Weblogic服务器到最新版本，避免漏洞产生。

2.关闭Weblogic服务器的T3协议，或是限制T3协议的访问范围，减少攻击面。

3.对Weblogic服务器进行安全加固，增强服务器的安全性能。

4.对服务器进行漏洞扫描，及时发现和修复漏洞。

总之，Weblogic反序列化漏洞是一种严重的安全威胁，需要管

理员积极采取措施进行防范和保护。

- 1 -

1.查看版本

打开控制台cmd，执行java weblogic.version，出现以下代码

WebLogic Server 10.3.6.0 Tue Nov 1508:52:36 PST 20111441050

Use 'weblogic.version -verbose' to get subsystem information

Use 'weblogic.utils.Versions' to get version information for all modules

可以看到这里只有一行WebLogic Server 10.3.6.0 ，说明我之前没打过其他任何补丁，如果打过补丁，就都会显示在上面。

如果什么都没出现

可以先执行C:\Oracle\Middleware\wlserver_10.3\server\bin\setWLSenv.cmd，然后再试试java weblogic.version命令

或者还可以这样看

C:\Oracle\Middleware\utils\bsu>bsu.cmd -prod_dir=c:\Oracle\Middleware\wlserver_10.3 -

status=applied -verbose -view

2.打补丁

解压补丁包zip文件，得到两个文件一个.jar 一个.xml 将这个两个文件拷贝到weblogic 目录下 utils/bsu/cache_dir 中，如果没有cache_dir 自己创建。当然这个目录也可以自己指定。

执行以下命令：

1.C:\Oracle\Middleware\utils\bsu>bsu.cmd –install -

常见weblogical漏洞原理及危害和防御方法

随着互联网的快速发展，网络安全问题日益突出。WebLogic作为一款主流的Java EE应用服务器，广泛应用于企业级应用中。然而，它也存在着一些安全漏洞，这些漏洞一旦被黑客利用，将对企业和用户造成极大的危害。本文将详细解析WebLogic常见的漏洞原理、危害以及防御方法，以帮助大家更好地保障网络安全。

一、常见WebLogic漏洞原理及危害

1.XMLDecoder反序列化漏洞

原理：WebLogic中的XMLDecoder组件在解析XML数据时，未对数据进行严格的校验，导致攻击者可以构造恶意的XML数据，执行远程代码。

危害：攻击者可以利用该漏洞获取服务器权限，进而窃取敏感数据、破坏系统等。

2.T3协议反序列化漏洞

原理：WebLogic使用T3协议进行远程方法调用，攻击者可以构造恶意的序列化数据，通过T3协议发送给WebLogic服务器，从而执行远程代码。

危害：与XMLDecoder反序列化漏洞类似，可能导致服务器被攻击者控制。

3.IIOP协议反序列化漏洞

原理：WebLogic支持IIOP协议进行远程方法调用，攻击者可以利用该协议发送恶意序列化数据，执行远程代码。

危害：同样可能导致服务器被攻击者控制。

4.SSRF漏洞

原理：WebLogic中的某些功能存在服务器端请求伪造（SSRF）漏洞，攻击者可以构造特定的请求，让服务器向指定的目标发起请求。

危害：攻击者可以利用该漏洞访问内部网络资源，甚至可能导致服务器成为攻击者的代理，对外发起攻击。

5.反向代理漏洞

1.停止weblogic的server节点服务（不停止控制台NCAdminSrv的服务）

参考命令:ps -ef|grep java

找到= server节点名称的进程，然后kill掉。

PS：控制台的NCAdminSrv暂时不用停止。

2.删除nc65发布包

通过浏览器登录weblogic控制台，点击菜单-部署，然后点击左上角-锁定并编辑，再选中nc65，点击删除。

参考下图：

PS：删除后，一定要点击保存按钮和左上角的-激活更改。

3.停止weblogic的控制台NCAdminSrv服务

参考命令:ps -ef|grep java

Kill掉控制台进程。

4.进入nchome路径，备份代码。

5.升级补丁。

PS：如果有数据库脚本补丁的话，则升级前一天整库备份。

存储过程变更前做好备份。

6.清理nchome的缓存

清理nchome 内的dist、history、temp 目录

7.清理weblogic的缓存

进入weblogic的域下的servers目录：

cd /app/xjbank/domains/ncftp_7001/servers

下面有 NCAdminSrv、server 目录，然后进入各自目录下，除了 security目录外，其他均可删除。security目录切勿删除。如没有security目录，则可以全部删除。

8.启动weblogic控制台

进入启动脚本目录内

启动Weblogic控制台使用：

./1_start_admin.sh

PS：仅启动weblogic控制台，不启动server节点。

9.代码部署

进入nchome，打开sysconfig.sh图形化界面，点击菜单-部署-完全部署-二阶段部署-生成EJB-部署EJB。

1 WEBLOGIC服务器管理概述10

域、管理服务器与受管服务器10

启动管理控制台12

运行时对象与配置对象12

日志消息的集中访问14

W EB L OGIC管理服务器与W EB L OGIC受管服务器15

启动时的错误消息15

启动W EB L OGIC管理服务器15

WebLogic服务器启动时的口令使用16

从Start菜单启动WebLogic管理服务器16

启动与终止Windows服务形式的WebLogic服务器16

从命令行启动WebLogic管理服务器17

用脚本启动管理服务器20

在受管服务器运行时重启管理服务器 20

在同台机器上重启管理服务器21

在其它机器上重启管理服务器21

将W EB L OGIC受管服务器加入到域22

启动W EB L OGIC受管服务器22

通过脚本启动W EB L OGIC受管服务器 24

从老版本W EB L OGIC服务器升级 25

从管理控制台终止W EB L OGIC服务器 25

从命令行停止服务器25

暂停和恢复受管服务器26

将W EB L OGIC服务器设置为W INDOWS服务26

删除W INDOWS服务形式的W EB L OGIC服务器27

更改安装成Windows服务的服务器口令27

注册启动与终止类28

2 节点管理器 29

节点管理器概述29

配置与启动节点管理器30

启动节点管理器31

启动管理服务器32

3 配置WEBLOGIC服务器与集群35

服务器与集群配置概述35

管理服务器的角色35

启动管理控制台37

动态配置的工作原理38

集群配置规划38

- 1 -

服务器配置任务列表39

Trouble Shooting

统上按照同样的

进行安装，

想问题多

程相当曲

首先笔者将补丁包上传

%Weblogic_Home%\utils\

录下，然

%Weblogic_Home%\

按住Shift

再点击鼠标右键，在弹出的窗口中选择“在此

项。

窗口中执

查看当前补丁

-prod_dir =% Weblogic_Home%\wl ser

-status= app

器启动故

学习和了解到了

中使用的XFS文件

逻辑盘卷管理器

lied -verbose –view

发现

lang.OutOfMemoryError:

Java heap

图1所示。

笔者看到程序抛出虚拟

内存不足错误，

bsu.cmd程序里的虚拟内存

图1 出现 “ng.OutOfMemoryError: Java heap space”错误提示参数，将原来的

数最小和最大内存都调整为

1024 MB。

原来的参数为

ARGS=-Xms256m -Xmx512m

而调整后的参数为

MEM_ ARGS=-Xms1024m

Xmx 1024m

笔者

程序，执行上述查询补丁安

装情况命

“ng.OutOfMemory

Error:Java heap space”

拟内存不足错误。

笔者

gic打个

内存还不够吗？于是继续增

加内存数，

MEM_ARGS

内存都调

重启bsu.cmd

命令。但这次竟抛出了新错

误“Error occurred during

Trouble Shooting 图4 补丁安装成功

自此笔者探索出了一条新路，特别是一些只能运行在此之前笔者曾经都想着放弃给这台服务器的Weblogic 中间件打补丁了，但后来经

Weblogic Server 补丁升级指导

2013-04-28

胡亮

目录

目录 (2)

一、补丁说明 (3)

二、补丁下载 (4)

三、补丁安装注意事项 (5)

四、补丁安装方法 (5)

第一种（重要）：bsu安装 (5)

第二种：oracle自带Smart Update (8)

第三种：jar包加载安装 (9)

一、补丁说明

补丁大致分为四种，如下为oracle官方描述：

参考：

OPatch can be used for the following types of patches:

A patch set exception (also known as a PSE, one-off, or interim patch)

This is usually a single fix for a single problem. One-offs in ST products (GC, DB/AS Control etc) are packaged and applied via OPatch. One-offs are bug fixes given to customers in critical need and are not cumulative, regressed or versioned. You can use the opatchlsinventory command to see which one-off patches are installed on your system.

A patch bundle (also known as an MLR patch)

weblogic反序列化漏洞原理

WebLogic是Oracle公司推出的一款Java EE应用服务器，在企业级应用开发中较为常用。然而，在2016年3月，WebLogic爆出了一起反序列化漏洞的事件，从此，这个漏洞成为了Java应用中最为危险的漏洞之一。本文将介绍WebLogic反序列化漏洞的原理，以及如何发现和修复此漏洞。

1. 反序列化的概念

反序列化是将序列化的数据还原为原始数据的过程。在Java中，对象可以被序列化成一个字节流，并可以传输到网络中或写入到硬盘中。被传输或写入的字节流可以在远程计算机上重新实例化为原始对象。这个过程是通过Java中的ObjectInput/Output Stream实现的。

最常用的反序列化漏洞，通常在攻击者能够发送恶意的数据包到目标服务器并在服务器执行之前利用Java反序列化失败之前的漏洞，将攻击者的数据传递到远程Code执行环境中，并在服务器上利用此漏洞获得执行代码的能力。

2. WebLogic反序列化漏洞的原理

2.1 Apache Commons-collections4库的反序列化漏洞

这个漏洞是通过对WebLogic中Apache Commons-collections4库的反序列化解析器的利用，导致WebLogic 服务器受到攻击的。Apache Commons-collections4库是WebLogic应用程序中经常使用的一个用于收集Java对象的集合库。攻击者可以通过传输一个特别构造的精心捆绑的字节流，在WebLogic中的Apache Commons-collections4库的反序列化处理程序上执行恶意代码。

Java反序列化漏洞加固方法：

1、替换java包解决应用层面问题。方法是使用官方提供的4.4.1版本commons-collections4-4.1.jar包替换应用lib目录下的commons-collections.jar，再重启应用。

2、解决中间件层面问题。

方法一：升级weblogic补丁包，升级weblogic 10.3.6.12的补丁包p2*******_1036012_Generic.zip，直接安装补丁即可，但不支持10.3.6.12之前的版本，如果是老版本，先升级到 10.3.6.12再打补丁，或要用方法二。

方法二：删除特定文件。

删除commons-collections.jar包内org/apache/commons/collections/functors/InvokerTransfo rmer.class文件，不要直接解压缩后打开再重新包，这样会有问题。要直接用压缩工具软件打开后直接删除。特别注意如果集群环境，要全部停掉再执行此操作才有效，否则会被缓存的文件覆盖回原始包。

方法一不用停集群，方法二简单但要停集群。

Oracle WebLogic wls9-async 组件反序列化远程命令执行漏

洞预警

中共武汉市委网络安全和信息化委员会办公室

2019年4月

一、安全公告

近日，国家信息安全漏洞共享平台（CNVD）公开了Oracle WebLogic wls9-async反序列化远程命令执行漏洞（CNVD-C-2019-48814），部分版本WebLogic Server中默认包含的wls9_async_response.war和wls-wsat.war存在反序列化远程命令执行漏洞，Oracle官方暂未发布补丁，建议通过临时缓解措施加固防护。

二、漏洞描述

WebLogic Server是美国甲骨文（Oracle）公司开发的一款适用于云环境和传统环境的应用服务中间件，它提供了一个现代轻型开发平台，支持应用从开发到生产的整个生命周期管理，并简化了应用的部署和管理。wls9-async组件为WebLogic Server提供异步通讯服务，默认应用于WebLogic部分版本。由于该WAR包在反序列化处理输入信息时存在缺陷，攻击者通过发送精心构造的恶意HTTP 请求，即可获得目标服务器的权限，在未授权的情况下远程执行命令。

CNVD对该漏洞的综合评级为“高危”。

三、影响范围

该漏洞影响以下版本：

WebLogic 10.X

WebLogic 12.1.3

四、缓解措施

目前，Oracle官方暂未发布补丁，临时解决方案如下：

1、查找并删除wls9_async_response.war、 wls-wsat.war，然后重启Weblogic服务；

一．升级OPATCH;

升级前应该先停止WEBLOGIC服务。

1.1更改/u02/bea/OPatch目录为OPatch.bak或者删除OPatch目录

1.2升级新版本opatch命令如下

java –jar /home/weblogic/6880880/opatch_generic.jar –silent

oracle_home=/u02/bea

其中 /home/weblogic/6880880/opatch_generic.jar 为补丁目录。

/u02/bea 为opatch安装目录。

如下图则表示升级成功！！（注意应切换至weblogic用户进行升级）

二．安装WEBLOGIC 12C补丁；

2.1 查看以往补丁版本信息

cd /u02/bea/OPatch #切换至OPatch目录

./opatch lspatches #查看以往补丁版本，如下图：

2.2 ./opatch rollback -id 26051289 #删除与此次补丁升级版本冲突的旧补丁，如果没有出现冲突则不用删除

如下图则表示删除成功；

2.3 ./opatch apply /home/weblogic/29016089 #安装12C反序列化补丁

其中 /home/weblogic/29016089 为补丁包目录；

如下图则表示升级完成；

2.4 验证补丁是否安装成功

cd /u02/bea/OPatch #切换至OPatch目录

./opatch lspatches #查看补丁版本,如果 update为 12.2.1.3.190416则表示安装成功。