weblogic 反序列化补丁步骤

weblogic反序列化补丁安装梁裕1、到weblogic官网下载补丁包（p2*******_1036_Generic.zip、p2*******_1036012_Generic.zip如果找不到的朋友，可以在回复中给我留下邮箱，我会定期回复。

）2、10.3.6对应的补丁包p2*******_1036012_Generic.zip ，补丁包需要依赖于一个大的升级包，所以需要把p2*******_1036_Generic.zip也下载下来。

3、登录linux的weblogic用户，切换到/home/weblogic/Oracle/Middleware/utils/bsu/目录下。

4、确认当前weblogic版本,并确认所有域的进程全部关闭./bsu.sh -prod_dir=/home/weblogic/Oracle/Middleware/wlserver_10.3/ -status=applied -verbose –view5、查看是否存在/home/weblogic/Oracle/Middleware/utils/bsu/cache_dir 目录，没有的需要手工创建。

6、将补丁包上传到/home/weblogic/Oracle/Middleware/utils/bsu/cache_dir目录下7、首先打大的升级包，解压p2*******_1036_Generic.zipunzip p2*******_1036_Generic.zipEJUW对应就是后面命令的patchlist8、执行补丁安装命令。

./bsu.sh -install-patch_download_dir=/home/weblogic/Oracle/Middleware/utils/bsu/cache_dir-patchlist=EJUW-prod_dir=/home/weblogic/Oracle/Middleware/wlserver_10.3 –verbose9、打序列化的补丁包，解压p2*******_1036012_Generic.zipunzip p2*******_1036012_Generic.zip./bsu.sh -install-patch_download_dir=/home/weblogic/Oracle/Middleware/utils/bsu/cache_dir-patchlist=ZLNA-prod_dir=/home/weblogic/Oracle/Middleware/wlserver_10.3 –verbose10、在打ZLNA补丁包时，遇到了内存溢出的问题。

weblogic 漏洞处理报告2016年1月18日漏洞描述简单来说序列化是将对象状态转换为可保持或传输的格式的过程(bytestream)。

与序列化相对的是反序列化，它将流(bytestream)转换为对象。

这两个过程结合起来，可以轻松地存储和传输数据平常状况下正常的数据流被反序列化的时候产生的是预期的正常的对象。

但是当在进行反序列化的时候，被反序列化的数据是被经过恶意静心构造的，此时反序列化之后就会产生非预期的恶意对象。

这个时候就可能引起任意代码执行。

影响版本Oracle WebLogic服务器，版本10.3.6.0，12.1.2.0，12.1.3.0，12.2.1.0受到影响。

缓解建议在MOS注2076338.1是可用的，并将作为新的信息变得可用更新。

Oracle WebLogic服务器的补丁正在创建。

补丁可用性信息将在MOS注2075927.1更新官网描述This Security Alert addresses security issue CVE-2015-4852, a deserialization vulnerability involving Apache Commons and Oracle WebLogic Server. This is a remote code execution vulnerability and is remotely exploitable without authentication, i.e., may be exploited over a network without the need for a username and password.官方声明:/technetwork/topics/security/alert-cve-2015-485 2-2763333.htmlWeblogic 用户将收到官方的修复支持Oracle Fusion Middleware Risk Matrix解决方法临时解决方案1 使用SerialKiller 替换进行序列化操作的ObjectInputStream 类；2 在不影响业务的情况下，临时删除掉项目里的“org/apache/commons/collections/functors/InvokerTransformer.class” 文件；官方解决方案：p2*******_1036_Generic补丁PATCH_ID - EJUWPatch number - 20780171PSU补丁安装Oracl e weblogic补丁更新安装准备1.停止所有的weblogic服务器2.删除任何以前应用的服务器补丁更新和相关覆盖补丁安装Oracle weblogic补丁更新（for 10.3.6.0）1.解压p2*******_1036_Generic.zip到｛MW_HOME｝/utils/bsu/cache_dir或者其他指定目录（注：必须确保目标目录有读写和执行权限）2.进入｛MW_HOME｝/utils/bsu文件夹3.执行如下命令：bsu.sh –install –patch_download_dir={MW_HOME}/utils/bsu/cache_dir –patchlist={PA TCH_ID} –prod_dir={MW_HOME}/{WL_HOME}安装后验证1.重启所有weblogic server2.执行以下命令来确定补丁更新情况a)source $WL_HOME/server/bin/setWLSEnv.shb)java weblogic.version –verbose卸载PSU更新1.停止所有weblogic server2.进入{MW_HOME}/utils/bsu 文件夹3.执行如下命令bsu.sh –remove –patchlist={PATCH_ID} –prod_dir={MW_HOME}/{WL_HOME}webl ogic PSU更新记录1.安装命令设置环境变量：weblogic@CMSAPP1:/home/weblogic> cd wlserver_10.3/server/binweblogic@CMSAPP1:/home/weblogic/wlserver_10.3/server/bin> source setWLSEnv.shCLASSPATH=/home/weblogic/patch_wls1036/profiles/default/sys_manifest_class path/weblogic_patch.jar:/home/weblogic/patch_ocp371/profiles/default/sys_manifest_cl asspath/weblogic_patch.jar:/usr/java/jdk1.6.0_45/lib/tools.jar:/home/weblogic/wlserver_ 10.3/server/lib/weblogic_sp.jar:/home/weblogic/wlserver_10.3/server/lib/weblogic.jar:/h ome/weblogic/modules/features/weblogic.server.modules_10.3.6.0.jar:/home/weblogic/ wlserver_10.3/server/lib/webservices.jar:/home/weblogic/modules/org.apache.ant_1.7.1/ lib/ant-all.jar:/home/weblogic/modules/net.sf.antcontrib_1.1.0.0_1-0b2/lib/ant-contrib.ja r:.:/usr/java/jdk1.6.0_45/lib/dt.jar:/usr/java/jdk1.6.0_45/lib/tools.jarPATH=/home/weblogic/wlserver_10.3/server/bin:/home/weblogic/modules/org.apa che.ant_1.7.1/bin:/usr/java/jdk1.6.0_45/jre/bin:/usr/java/jdk1.6.0_45/bin:/usr/java/jdk1.6 .0_45/bin:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/X11R6/bin:/usr/games:/usr/lib/mi t/bin:/usr/lib/mit/sbinYour environment has been set.查看当前版本：weblogic@CMSAPP1:/home/weblogic/wlserver_10.3/server/bin> java weblogic.version -verbose在/home/weblogic/utils/bsu/下创建目录cache_dir拷贝介质到此文件夹后解压：weblogic@CMSAPP2:~/utils/bsu/cache_dir> unzip p2*******_1036_Generic.zip Archive: p2*******_1036_Generic.zipextracting: EJUW.jarinflating: patch-catalog_22958.xmlinflating: README.txt修改xml文件名称并修改权限weblogic@CMSAPP2:~/utils/bsu/cache_dir> mv patch-catalog_22958.xml patch-catalog.xmlweblogic@CMSAPP2:~/utils/bsu/cache_dir> ll总用量200028-rw-r--r-- 1 weblogic weblogic 81683240 6月18 2015 EJUW.jar-rwxr-xr-x 1 weblogic weblogic 84307469 1月14 14:43 p2*******_1036_Generic.zip-rwxr-xr-x 1 weblogic weblogic 3212585 1月14 14:43 p2*******_1036012_Generic.zip-rw-r--r-- 1 weblogic weblogic 35386135 5月28 2015 patch-catalog.xml-rw-rw-r-- 1 weblogic weblogic 6822 6月23 2015 README.txtweblogic@CMSAPP2:~/utils/bsu/cache_dir> chmod +x *修改bsu.sh中的内存后执行脚本weblogic@CMSAPP2:~/utils/bsu> ./bsu.sh -install -patch_download_dir=/home/weblogic/utils/bsu/cache_dir/ -patchlist=EJUW -prod_dir=/home/weblogic/wlserver_10.3/检查冲突...未检测到冲突正在安装补丁程序ID: EJUW..结果: 成功。

Weblogic补丁部署方案
目录
一、补丁部署 (3)
1. 启动weblogic服务测试 (3)
2. 打补丁 (4)
3. 安装后重启weblogic服务 (5)
4. 删除补丁 (6)
一、补丁部署
1. 启动weblogic服务测试检查日志描述
检查服务版本
检查console端版本
2. 打补丁
停止所有的weblogic服务进程
在路径/home/weblogic/Oracle/Middleware/utils/bsu下新建文件夹cache_dir，将上传的补丁包程序在cache_dir内进行加压，使用命令：
进入weblogic补丁升级目录：
修改smartupdate工具脚本
在路径/home/weblogic/Oracle/Middleware/utils/bsu下面执行smartupdate命令：
安装过程：
3. 安装后重启weblogic服务
安装完成后重启weblogic服务，检查日志，确认补丁是否已经成功升级
4. 删除补丁
如果需要删除补丁，在路径/home/weblogic/Oracle/Middleware/utils/bsu下执行以下命令进行删除。

删除原有补丁，执行命令：
删除后，检查：。

一 WebLogic安装1、打开WebLogic安装程序：oepe11_wls1031.exe(我们选用的是WebLogic 10.3g)。

如图1-1所示：图1-1 WebLogic安装2、进入WebLogic安装的欢迎界面，单击“下一步”按钮。

如图1-2所示：图1-2 WebLogic安装欢迎界面3、选择中间件主目录创建新的中间件主目录，其安装位置为默认的位置(安装位置默认为C:\Oracle\ Middleware，保持默认目录)，如图1-3所示。

单击“下一步”按钮：图1-3 选择中间件主目录4、注册安全更新把“我希望通过My Oracle Support接收安全更新”前勾选框的“√”去掉，如图1-4所示。

单击“下一步”按钮：图1-4 注册安全更新5、选择安装类型默认选择“典型”安装类型，如图1-5所示。

单击“下一步”按钮。

图1-5 选择安装类型6、选择产品安装目录WebLogic Server和Oracle Coherence保持默认路径，如图1-6所示。

单击“下一步”按钮。

图1-6 选择产品安装目录7、选择快捷方式位置默认选择“‘所有用户’开始菜单文件夹(推荐)”，如图1-7所示。

单击“下一步”按钮。

图1-7 选择快捷方式位置8、安装概要检查前面所要创建的安装产品和JDK，如图1-8所示。

单击“下一步”按钮。

图1-8 安装概要9、 WebLogic安装过程，如图1-9所示：图1-9 WebLogic安装10、安装完成如果出现图1-10所示的界面，则表示WebLogic安装完成。

单击“完成”按钮。

图1-10 WebLogic安装完成二 WebLogic配置1、在安装完成的界面（图1-10）中，如果选中“运行Quickstart”(默认是选中)，则过几秒会自动弹出如图2-1所示的界面，选择“Getting started with WebLogic Server 10.3.5”选项就可进入配置向导，如图2-2所示。

Weblogic安装和域的创建过程注：安装过程中该文档为提及到的可以直接下一步操作
1.首先找到安装程序weblogic_1035_win3
2.exe并打开
2.进入欢迎页面点击下一步（next）
3 。

选择你的安装目录然后下一步
4.把默认勾选的去掉，不选接收安全更新直接下一步
5.一直单击下一步直到完成
6.点击红框等待创建域
7.开始创建域直接下一步
7.在下面填写你的域名和创建目录然后点击下一步
然后单击下一步
9.勾选红框选项然后下一步
有冲突然后下一步
11. 一直下一步到下图单击创建直到完成安装结束。

Weblogic安装配置指南Weblogic 10.3.5在64位Windows系统下的安装和配置方法源自网络，已经在windows 2003 ent 64bit+weblogic 10.3.3 64bit.jar上验证通过。

本文介绍Oracle Weblogic 10.3.5 在64位Windows环境下的安装. 本文内容稍加变动后也适用于Linux,Solaris,AIX,HPUX等系统下的安装过程(参考文末). 因为总是看到网上有很多朋友在询问同样的问题:BEA-000438: loading performance pack issue.1.1首先, 确保下载了正确版本的WebLogic安装程序, 此处为wls1035_generic.jar;1.2下载64位的Oracle Java JDK 6 (2011年8月23日的版本为jdk-6u27-windows-x64.exe 下载地址)或Oracle JRockit JDK 28.1.4 for Java version 6 (jrockit-jdk1.6.0_26-R28.1.4-4.0.1-windows-x64.exe 下载地址), 如有可能, 请尽量在Windows/Linux平台下使用JRockit虚拟机;1.3通用的64位Weblogic 安装程序本身并不绑定任何版本的64位JVM, 因此请安装第二步下载到的Java安装程序.默认的安装路径(C:\Program Files)必须进行修改, 因为Weblogic和很多Java类库都不能很好的支持带有空格的目录名.请确保将JDK安装到不带任何空格的目录下(例如C:\Java)，在家里验证的时候将JDK安装在了c:\java目录下，建议现场操作时也按照此执行1.4现在, 打开命令提示符窗口, 执行下列命令来安装64位Weblogic 10.3.5:（三选一），家里验证时选的是第一种方式java -D64 -jar wls1035_generic.jar (-D64 确保WebLogic安装选择64位JDK); java -D64 -jar wls1035_generic.jar -mode=console 控制台安装java -jar wls1034_generic.jar -mode=console -silent_xml=/path_to_silent.xml 静默安装更多信息参考: Linux下Weblogic 11g jar格式安装包如何安装?安装weblogic过程：1)在cmd窗口输入如下命令2)点击下一步3)创建新的中间件主目录4)点击下一步，然后在弹出的对话框中点击2次yes5)出现一个错误提示的页面，按如下选择，然后点击继续6)选择自定义，点击下一步7)不选择Oracle coherence，点击下一步8)在此页面点击浏览，选择刚刚安装的JDK目录，如c:\java，然后选择下一步9)下一步10)选择否，下一步11)下一步12)勾选运行quickstart ，点击完成13)选择getting started with weblogic 10.3.314)创建新的weblogic域，点击下一步15)下一步16)下一步17)填写域名，保持默认也可以18)输入密码，点击下一步，此处的用户名和密码应牢记，后面会用到19)选择开发模式和刚才安装的JDK，点击下一步20)选择管理服务器，下一步21)下一步22)创建23)勾选启动管理服务器，点击完成24)启动过程，如果所示，出现RUNNING MODE，表示启动成功，如果启动失败，可以参照1.6中的提示解决25)在IE中输入http://192.168.108.133:7001/console，出现如下的页面，输入用户名：weblogic和第18步中设置的密码就可以进入weblogic的portal页面了1.5跟随Weblogic 10.3.5 安装过程中提示步骤进行–安装过程中将会提示选择WebLogic所使用的JDK, 请确保此时所用版本为64位JDK, 例如选择上文提到的目录C:\Java ;1.6现在创建域并启动服务器, 或许会发现如下提示的错误信息:<Error> <Socket> <BEA-000438> <Unable to load performance pack.Using Java I/O instead. Please ensure t hat wlntio.dll is in: ‘C:\Oracle\fmwhome\wlserver_10.3\server\native\win\32;C:\Oracle\fmwhome\ wlserver_10.3\server\bin;C:\WINDOWS\system32;C:\WINDOWS;C:\Oracle\fmwhome\w lserver_10.3\server\native\win\32\;C:\Oracle\fmwhome\wlserver_10.3\server\bin;C:\Program~\Java\jdk1.6.0_24\jre\bin;C:\\Java\jdk1.6.0_24\bin; ‘1.7解决方法1) 进入如下目录:<<Weblogic_Home_Directory>>\wlserver_10.3\server\native\win\x64, 复制文件wlntio.dll 并将其粘贴到C:\Java\bin 目录下(假设JDK事先已安装至C:\Java);2)或者修改系统的PATH变量使其包含<<Weblogic_Home_Directory>>\wlserver_10.3\server\native\win\x64, 此为推荐做法;8. 启动服务器后, 问题应消失并可在Thread Dump中看到Muxer相关线程. Linux/Unix下的解决方案:需找到对应目录下的文件libmuxer.so或者libmuxer.sl, 将其加入系统的PATH或者LD_LIBRARY_PATH环境变量, 并确保WebLogic进程的所有者用户对其有读和执行的权限.。

Weblogic升级更新补丁操作步骤Weblogic 升级更新补丁操作步骤：1、上传补丁包2、kill weblogic进程3、查看weblogic当前补丁信息编辑bsu内存参数bsu.cmdset MEM_ARGS=-Xms256m -Xmx2048mbsu.shMEM_ARGS="-Xms256m -Xmx2048m"需要使⽤最新的patch-catalog.xml来查已打补丁(打过旧补丁后，要保持使⽤最新的⽂件体积⼤的patch-catalog.xml来查看已打补丁) cd /weblogic/utilscd bsu/sh bsu.sh -view -status=applied -prod_dir=/weblogic/wlserver_10.3 -verboseWindows:C:\Oracle\Middleware\utils\bsu>bsu.cmd -view -status=applied -prod_dir=C:\Oracle\Middleware\wlserver_10.3 -verbose4、解压补丁包，拷贝到/weblogic/utils/bsu/cache_dir⽬录cd /root/tmpcd /weblogic/user_projects/domains/cd /weblogic/utils/bsu/cache_dircd cache_dir/cd /root/tmpunzip ********.zipcd /weblogic/utils/bsu/cache_dircp /root/tmp/****.jar .cp /root/tmp/patch-catalog_11111.xml .chmod 744 ****.jarchmod 744 patch-catalog_11111.xml5、修改patch-catalog_11111.xml 名字为patch-catalog.xmlmv patch-catalog_11111.xml patch-catalog.xml需要使⽤最新的patch-catalog.xml来查已打补丁6、安装更新补丁包./bsu.sh -prod_dir=/weblogic/wlserver_10.3 -status=applied -view 查看./bsu.sh -prod_dir=/weblogic/wlserver_10.3 -patchlist=**** -verbose -install 安装C:\Oracle\Middleware\utils\bsu>bsu.cmd -prod_dir=C:\Oracle\Middleware\wlserver_10.3 -patchlist=I37G -verbose -install如果有冲突的旧补丁，需要先安装由新到旧的顺序卸载再安装最新补丁C:\Oracle\Middleware\utils\bsu>bsu.cmd -prod_dir=C:\Oracle\Middleware\wlserver_10.3 -patchlist=6JJ4 -verbose -removeC:\Oracle\Middleware\utils\bsu>bsu.cmd -prod_dir=C:\Oracle\Middleware\wlserver_10.3 -patchlist=U5I2 -verbose -remove7、清除缓存For WLP versions 9.2 and above, delete the following Admin and Managed server cache directories:<Domain>/servers/<Server Name>/cache<Domain>/servers/<Server Name>/stage (if exists)<Domain>/servers/<Server Name>/tmpFor WLP version 8.1, delete the equivalent server cache directories:<Domain>/<Server Name>/stage<Domain>/<Server Name>/.internal<Domain>/<Server Name>/.wlnotdelete8、启动weblogic。