WebLogic 组件反序列化漏洞补丁升级操作手册

Weblogic补丁升级操作手册版本查询cd /usr/weblogic/Oracle/Middleware/utils/bsu./bsu.sh -prod_dir=/usr/weblogic/Oracle/Middleware/wlserver_10.3/ -status=applied -verbose -viewcd /usr/weblogic/Oracle/Middleware/wlserver_10.3/server/binsource ./setWLSEnv.shjava weblogic.version在weblogic控制台主页>服务器概要>AdminServer >监视 >一般信息中也能查到版本补丁安装cd /usr/weblogic/Oracle/Middleware/utils/bsu如果有使用过bsu.sh，则会有cache_dir目录，否则请新建或执行bsu.sh生成。

上传patch至cache_dir目录并解压unzip p2*******_1036_Generic_psu12.zip解压出来的jar名就是Patch ID，是后面安装的参数。

停止服务，并确认无相关进程./bsu.sh -install-patch_download_dir=/usr/weblogic/Oracle/Middleware/utils/bsu/cache_dir -patchlist=EJUW -prod_dir=/usr/weblogic/Oracle/Middleware/wlserver_10.3 -verbose启动weblogic，在启动日志中有已打补丁的信息。

补丁卸载cd /usr/weblogic/Oracle/Middleware/utils/bsu./bsu.sh -install-patchlist=EJUW -prod_dir=/usr/weblogic/Oracle/Middleware/wlserver_10.3 -verbosePS：将安装命令的参数install改为remove，去掉patch_download_dir参数即是卸载命令。

weblogic 漏洞处理报告2016年1月18日漏洞描述简单来说序列化是将对象状态转换为可保持或传输的格式的过程(bytestream)。

与序列化相对的是反序列化，它将流(bytestream)转换为对象。

这两个过程结合起来，可以轻松地存储和传输数据平常状况下正常的数据流被反序列化的时候产生的是预期的正常的对象。

但是当在进行反序列化的时候，被反序列化的数据是被经过恶意静心构造的，此时反序列化之后就会产生非预期的恶意对象。

这个时候就可能引起任意代码执行。

影响版本Oracle WebLogic服务器，版本10.3.6.0，12.1.2.0，12.1.3.0，12.2.1.0受到影响。

缓解建议在MOS注2076338.1是可用的，并将作为新的信息变得可用更新。

Oracle WebLogic服务器的补丁正在创建。

补丁可用性信息将在MOS注2075927.1更新官网描述This Security Alert addresses security issue CVE-2015-4852, a deserialization vulnerability involving Apache Commons and Oracle WebLogic Server. This is a remote code execution vulnerability and is remotely exploitable without authentication, i.e., may be exploited over a network without the need for a username and password.官方声明:/technetwork/topics/security/alert-cve-2015-485 2-2763333.htmlWeblogic 用户将收到官方的修复支持Oracle Fusion Middleware Risk Matrix解决方法临时解决方案1 使用SerialKiller 替换进行序列化操作的ObjectInputStream 类；2 在不影响业务的情况下，临时删除掉项目里的“org/apache/commons/collections/functors/InvokerTransformer.class” 文件；官方解决方案：p2*******_1036_Generic补丁PATCH_ID - EJUWPatch number - 20780171PSU补丁安装Oracl e weblogic补丁更新安装准备1.停止所有的weblogic服务器2.删除任何以前应用的服务器补丁更新和相关覆盖补丁安装Oracle weblogic补丁更新（for 10.3.6.0）1.解压p2*******_1036_Generic.zip到｛MW_HOME｝/utils/bsu/cache_dir或者其他指定目录（注：必须确保目标目录有读写和执行权限）2.进入｛MW_HOME｝/utils/bsu文件夹3.执行如下命令：bsu.sh –install –patch_download_dir={MW_HOME}/utils/bsu/cache_dir –patchlist={PA TCH_ID} –prod_dir={MW_HOME}/{WL_HOME}安装后验证1.重启所有weblogic server2.执行以下命令来确定补丁更新情况a)source $WL_HOME/server/bin/setWLSEnv.shb)java weblogic.version –verbose卸载PSU更新1.停止所有weblogic server2.进入{MW_HOME}/utils/bsu 文件夹3.执行如下命令bsu.sh –remove –patchlist={PATCH_ID} –prod_dir={MW_HOME}/{WL_HOME}webl ogic PSU更新记录1.安装命令设置环境变量：weblogic@CMSAPP1:/home/weblogic> cd wlserver_10.3/server/binweblogic@CMSAPP1:/home/weblogic/wlserver_10.3/server/bin> source setWLSEnv.shCLASSPATH=/home/weblogic/patch_wls1036/profiles/default/sys_manifest_class path/weblogic_patch.jar:/home/weblogic/patch_ocp371/profiles/default/sys_manifest_cl asspath/weblogic_patch.jar:/usr/java/jdk1.6.0_45/lib/tools.jar:/home/weblogic/wlserver_ 10.3/server/lib/weblogic_sp.jar:/home/weblogic/wlserver_10.3/server/lib/weblogic.jar:/h ome/weblogic/modules/features/weblogic.server.modules_10.3.6.0.jar:/home/weblogic/ wlserver_10.3/server/lib/webservices.jar:/home/weblogic/modules/org.apache.ant_1.7.1/ lib/ant-all.jar:/home/weblogic/modules/net.sf.antcontrib_1.1.0.0_1-0b2/lib/ant-contrib.ja r:.:/usr/java/jdk1.6.0_45/lib/dt.jar:/usr/java/jdk1.6.0_45/lib/tools.jarPATH=/home/weblogic/wlserver_10.3/server/bin:/home/weblogic/modules/org.apa che.ant_1.7.1/bin:/usr/java/jdk1.6.0_45/jre/bin:/usr/java/jdk1.6.0_45/bin:/usr/java/jdk1.6 .0_45/bin:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/X11R6/bin:/usr/games:/usr/lib/mi t/bin:/usr/lib/mit/sbinYour environment has been set.查看当前版本：weblogic@CMSAPP1:/home/weblogic/wlserver_10.3/server/bin> java weblogic.version -verbose在/home/weblogic/utils/bsu/下创建目录cache_dir拷贝介质到此文件夹后解压：weblogic@CMSAPP2:~/utils/bsu/cache_dir> unzip p2*******_1036_Generic.zip Archive: p2*******_1036_Generic.zipextracting: EJUW.jarinflating: patch-catalog_22958.xmlinflating: README.txt修改xml文件名称并修改权限weblogic@CMSAPP2:~/utils/bsu/cache_dir> mv patch-catalog_22958.xml patch-catalog.xmlweblogic@CMSAPP2:~/utils/bsu/cache_dir> ll总用量200028-rw-r--r-- 1 weblogic weblogic 81683240 6月18 2015 EJUW.jar-rwxr-xr-x 1 weblogic weblogic 84307469 1月14 14:43 p2*******_1036_Generic.zip-rwxr-xr-x 1 weblogic weblogic 3212585 1月14 14:43 p2*******_1036012_Generic.zip-rw-r--r-- 1 weblogic weblogic 35386135 5月28 2015 patch-catalog.xml-rw-rw-r-- 1 weblogic weblogic 6822 6月23 2015 README.txtweblogic@CMSAPP2:~/utils/bsu/cache_dir> chmod +x *修改bsu.sh中的内存后执行脚本weblogic@CMSAPP2:~/utils/bsu> ./bsu.sh -install -patch_download_dir=/home/weblogic/utils/bsu/cache_dir/ -patchlist=EJUW -prod_dir=/home/weblogic/wlserver_10.3/检查冲突...未检测到冲突正在安装补丁程序ID: EJUW..结果: 成功。

Weblogic补丁部署方案
目录
一、补丁部署 (3)
1. 启动weblogic服务测试 (3)
2. 打补丁 (4)
3. 安装后重启weblogic服务 (5)
4. 删除补丁 (6)
一、补丁部署
1. 启动weblogic服务测试检查日志描述
检查服务版本
检查console端版本
2. 打补丁
停止所有的weblogic服务进程
在路径/home/weblogic/Oracle/Middleware/utils/bsu下新建文件夹cache_dir，将上传的补丁包程序在cache_dir内进行加压，使用命令：
进入weblogic补丁升级目录：
修改smartupdate工具脚本
在路径/home/weblogic/Oracle/Middleware/utils/bsu下面执行smartupdate命令：
安装过程：
3. 安装后重启weblogic服务
安装完成后重启weblogic服务，检查日志，确认补丁是否已经成功升级
4. 删除补丁
如果需要删除补丁，在路径/home/weblogic/Oracle/Middleware/utils/bsu下执行以下命令进行删除。

删除原有补丁，执行命令：
删除后，检查：。

weblogic 反序列化补丁步骤
（1）环境备份
（2）cd </sys/weblogic/utils/bsu>
修改bsu.sh(设置jvm内存参数)
MEM_ARGS="-Xms2048m -Xmx2048m"
创建补丁目录，并放置补丁文件（附件中的jar包和xml文件）
mkdircache_dir
（3）查看系统/补丁版本
sh bsu.sh -prod_dir=/sys/weblogic/wlserver_10.3 -status=applied -verbose -view
（4）打包weblogic目录（根据实际情况选其中一种打包）：
在/sys下打包：
tar -cvzfweblogic.`date +%Y%m%d`.tgz weblogic/
在/sys/weblogic打包
tar -cvzfweblogic.`date +%Y%m%d`.tgz ./*
（5）停止所有server
（6）删除冲突补丁(通过步骤三来判断是否需要删除)
sh bsu.sh -remove -patchlist=Z4W7 -prod_dir=/sys/weblogic/wlserver_10.3 （7）打补丁
sh bsu.sh -prod_dir=/sys/weblogic/wlserver_10.3 -patchlist=S8C2 -verbose -install
（8）启动所有server，验证
注意事项：
1.打补丁的时候不要做其他操作
2.同一个domain下补丁版本要一致。

3.windows要停掉server才能打补丁，否则容易失败。

1.停止weblogic的server节点服务（不停止控制台NCAdminSrv的服务）参考命令:ps -ef|grep java找到= server节点名称的进程，然后kill掉。

PS：控制台的NCAdminSrv暂时不用停止。

2.删除nc65发布包通过浏览器登录weblogic控制台，点击菜单-部署，然后点击左上角-锁定并编辑，再选中nc65，点击删除。

参考下图：PS：删除后，一定要点击保存按钮和左上角的-激活更改。

3.停止weblogic的控制台NCAdminSrv服务参考命令:ps -ef|grep javaKill掉控制台进程。

4.进入nchome路径，备份代码。

5.升级补丁。

PS：如果有数据库脚本补丁的话，则升级前一天整库备份。

存储过程变更前做好备份。

6.清理nchome的缓存清理nchome 内的dist、history、temp 目录7.清理weblogic的缓存进入weblogic的域下的servers目录：cd /app/xjbank/domains/ncftp_7001/servers下面有 NCAdminSrv、server 目录，然后进入各自目录下，除了 security目录外，其他均可删除。

security目录切勿删除。

如没有security目录，则可以全部删除。

8.启动weblogic控制台进入启动脚本目录内启动Weblogic控制台使用：./1_start_admin.shPS：仅启动weblogic控制台，不启动server节点。

9.代码部署进入nchome，打开sysconfig.sh图形化界面，点击菜单-部署-完全部署-二阶段部署-生成EJB-部署EJB。

参考下图：PS：生成EJB完毕后，再点击部署EJB按钮。

部署完EJB后，可在weblogic控制台的部署菜单下，看到nc65发布包。

10.停止weblogic的控制台NCAdminSrv服务参考命令:ps -ef|grep javaKill掉控制台进程。

中间件安装配置指南（Weblogic for Windows）第 1 章概述Weblogic的安装配置总共包括五个部分：1. 数据库产品的安装(详见相应数据库安装文档)2. 初始化数据库(详见相应数据库文档)3. Weblogic8.1中间件产品的安装4. 创建Weblogic实例5. 配置实例第 2 章安装数据库详见相关数据库安装文档。

第 3 章初始化数据库详见相关数据库文档。

第 4 章安装Weblogic8.11. 找到weblogic8.1的安装文件，双击，开始解压，如下图所示：图 4-1解压2. 解压缩完以后，进入到Weblogic安装向导界面，如图所示：图 4-2安装向导3. 点击下一步，进入到许可协议界面，选择“是”，然后点击“下一步”图 4-3许可协议4. 出现如下界面，点击“浏览”可以选择BEA的主目录的路径，也可采用默认的安装路径；（这个路径需要记住，在配置实例的时候需要用到）图 4-4选择BEA主目录5. 点击“下一步”，进入到下面的窗口；图 4-5选择安装类型6. 选择“自定义”，进入到下面的窗口：图 4-6选择组件7. 只需要选择Weblogic Server-Server即可，参见上图示例，然后点击“下一步”，进入到下面的界面；图 4-7选择产品目录8. 在上面的窗口中选择产品安装的目录，也采用默认的即可，然后点击下一步，选择“立即安装”，开始程序的安装。

9. 程序安装完成后，会出现如下窗口；图 4-8安装完成10. 把上面窗口中两个选项前面的勾去掉，点击完成即完成了Weblogic的安装。

第 5 章创建Weblogic实例1. 找到系统任务栏上按钮，依次找到“开始>程序>BEA WebLogic Platform8.1>Configuration Wizard”，弹出下面的窗口：图 5-1创建或扩展配置2. 在上面的窗口中选择第一项（新建WebLogic配置），然后点击“下一步”，进入到下面的窗口；图 5-2选择配置模板3. Weblogic配置模板选择Basic WebLogic Server Domain，点击“下一步”，进入到下面的窗口；图 5-3选择配置方式4. 选择“快速”，点击“下一步”，进入到下面的窗口：图 5-4配置管理用户名和密码5. 在上面的窗口中填写启动Weblogic服务和进入Weblogic管理控制台的管理员信息。

Weblogic升级更新补丁操作步骤Weblogic 升级更新补丁操作步骤：1、上传补丁包2、kill weblogic进程3、查看weblogic当前补丁信息编辑bsu内存参数bsu.cmdset MEM_ARGS=-Xms256m -Xmx2048mbsu.shMEM_ARGS="-Xms256m -Xmx2048m"需要使⽤最新的patch-catalog.xml来查已打补丁(打过旧补丁后，要保持使⽤最新的⽂件体积⼤的patch-catalog.xml来查看已打补丁) cd /weblogic/utilscd bsu/sh bsu.sh -view -status=applied -prod_dir=/weblogic/wlserver_10.3 -verboseWindows:C:\Oracle\Middleware\utils\bsu>bsu.cmd -view -status=applied -prod_dir=C:\Oracle\Middleware\wlserver_10.3 -verbose4、解压补丁包，拷贝到/weblogic/utils/bsu/cache_dir⽬录cd /root/tmpcd /weblogic/user_projects/domains/cd /weblogic/utils/bsu/cache_dircd cache_dir/cd /root/tmpunzip ********.zipcd /weblogic/utils/bsu/cache_dircp /root/tmp/****.jar .cp /root/tmp/patch-catalog_11111.xml .chmod 744 ****.jarchmod 744 patch-catalog_11111.xml5、修改patch-catalog_11111.xml 名字为patch-catalog.xmlmv patch-catalog_11111.xml patch-catalog.xml需要使⽤最新的patch-catalog.xml来查已打补丁6、安装更新补丁包./bsu.sh -prod_dir=/weblogic/wlserver_10.3 -status=applied -view 查看./bsu.sh -prod_dir=/weblogic/wlserver_10.3 -patchlist=**** -verbose -install 安装C:\Oracle\Middleware\utils\bsu>bsu.cmd -prod_dir=C:\Oracle\Middleware\wlserver_10.3 -patchlist=I37G -verbose -install如果有冲突的旧补丁，需要先安装由新到旧的顺序卸载再安装最新补丁C:\Oracle\Middleware\utils\bsu>bsu.cmd -prod_dir=C:\Oracle\Middleware\wlserver_10.3 -patchlist=6JJ4 -verbose -removeC:\Oracle\Middleware\utils\bsu>bsu.cmd -prod_dir=C:\Oracle\Middleware\wlserver_10.3 -patchlist=U5I2 -verbose -remove7、清除缓存For WLP versions 9.2 and above, delete the following Admin and Managed server cache directories:<Domain>/servers/<Server Name>/cache<Domain>/servers/<Server Name>/stage (if exists)<Domain>/servers/<Server Name>/tmpFor WLP version 8.1, delete the equivalent server cache directories:<Domain>/<Server Name>/stage<Domain>/<Server Name>/.internal<Domain>/<Server Name>/.wlnotdelete8、启动weblogic。

windowsweblogic11g补丁升级1.查看版本打开控制台cmd，执行java weblogic.version，出现以下代码WebLogic Server 10.3.6.0 Tue Nov 1508:52:36 PST 20111441050Use 'weblogic.version -verbose' to get subsystem informationUse 'weblogic.utils.Versions' to get version information for all modules可以看到这里只有一行WebLogic Server 10.3.6.0 ，说明我之前没打过其他任何补丁，如果打过补丁，就都会显示在上面。

如果什么都没出现可以先执行C:\Oracle\Middleware\wlserver_10.3\server\bin\setWLSenv.cmd，然后再试试java weblogic.version命令或者还可以这样看C:\Oracle\Middleware\utils\bsu>bsu.cmd -prod_dir=c:\Oracle\Middleware\wlserver_10.3 -status=applied -verbose -view2.打补丁解压补丁包zip文件，得到两个文件一个.jar 一个.xml 将这个两个文件拷贝到weblogic 目录下utils/bsu/cache_dir 中，如果没有cache_dir 自己创建。

当然这个目录也可以自己指定。

执行以下命令：1.C:\Oracle\Middleware\utils\bsu>bsu.cmd –install -patch_download_dir=c:\Oracle\Middleware\utils\bsu\cache _dir -patchlist=EJUW -prod_dir=c:\Oracle\Middleware\wlserver_10.3说明：-patch_download_dir 是上步中那两个文件所在的目录-prod_dir weblogic的家目录-patchlist 补丁ID号，就是补丁包里.jar文件的文件名以上命令无法执行则执行下面这个命令：1.C:\Oracle\Middleware\utils\bsu>java -jar c:\Oracle\Middleware\utils\bsu\patch-client.jar -install -patch_download_dir=c:\Oracle\Middleware\utils\bsu\cache_dir -patchlist=EJUW -prod_dir=c:\Oracle\Middleware\wlserver_10.3出现以下则成功：1.检查冲突.....2.未检测到冲突3.4.正在安装补丁程序 ID: EJUW..5.结果: 成功。