Weblogic之反序列化高危漏洞（websphere反序列化）

mhr18 2024-10-05 17:49 21 浏览 0 评论

一、WebLogic Server Security Alert

安全问题描述

WebLogic Server反序列化安全漏洞补丁：CVE-2015-4852；

Apache Commons Collections 3和4，Groovy，Spring，只要目标应用的Class Path中包含这些库，可让readObject()实现任意命令执行。影响比较广泛的就是Apache Commons Collections这个库，中间件基本都会涉及使用此库。

受影响的WLS版本

Oracle WebLogic Server, 版本9及10.0.1mp，10.0.2mp，10.3.2，10.3.3,10.3.4.X10.3.5.X,10.3.6.X, 12.1.1.X,12.1.2.X, 12.1.3.X, 12.2.1.X；

已发布补丁的WLS版本

Oracle WebLogic Server, 版本10.0.1mp，10.0.2mp，10.3.2，10.3.3,10.3.4.X10.3.5.X,10.3.6.X, 12.1.1.X, 12.1.2.X, 12.1.3.X, 12.2.1.X；

Oracle支持weblogic版本补丁

January 2016 CPU Update:

CVE-2015-4852现在修复包括在下面的weblogic补丁集更新（PSU）和更高PSU:

12.2.1.0.1

12.1.3.0.6

12.1.2.0.8

10.3.6.0.13

WLS Release	Required Patches
12.2.1.0	12.2.1.0.0 Patch 22248372 for CVE-2015-4852
12.1.3.0	PSU 12.1.3.0.5 (Patch 21370953) + 12.1.3.0.5 Patch 22248372 for CVE-2015-4852
12.1.2.0	PSU 12.1.2.0.7 (Patch 21364493) + 12.1.2.0.7 Patch 22248372 for CVE-2015-4852
10.3.6.0	PSU 10.3.6.0.12 (Patch 20780171) + 10.3.6.0.12 Patch 22248372 for CVE-2015-4852

参考：CVE-2015-4852 Patch Availability Document for Oracle WebLogic Server Component of Oracle Fusion Middleware (文档 ID 2075927.1)

Oracle提供补丁列表

补丁程序名	说明	发行版	平台 (语言)
22248372	SU Patch [RMW6]: WEBLOGIC SERVER CVE-2015-4852 SECURITY ALERT PATCH (NOV 2015) (补丁程序)	10.3.3	Generic Platform (American English)
22248372	SU Patch [JQNK] :10.3.4.0.5 Overlay: WEBLOGIC SERVER CVE-2015-4852 SECURITY ALERT PATCH (NOV 2015) (补丁程序)	10.3.4.0.5	Generic Platform (American English)
22248372	SU Patch [JF2L] :10.3.5.0.7 Overlay: MERGE REQUEST ON TOP OF WLS PSU 10.3.5.0.7 FOR BUGS 21495475 22175246 22200449 (补丁程序)	10.3.5.0.7	Generic Platform (American English)
22248372	SU Patch [L9CG]: WEBLOGIC SERVER CVE-2015-4852 SECURITY ALERT PATCH (NOV 2015) (补丁程序)	10.3.2.0	Generic Platform (American English)
22248372	SU Patch [YWAF]: WEBLOGIC SERVER CVE-2015-4852 SECURITY ALERT PATCH (NOV 2015) (补丁程序)	10.3	Generic Platform (American English)
22248372	SU Patch [JH3R]: WEBLOGIC SERVER CVE-2015-4852 SECURITY ALERT PATCH (NOV 2015) (补丁程序)	10.0.1MP	Generic Platform (American English)
22248372	SU Patch [2H6C] :12.1.1.0.12 Overlay: WEBLOGIC SERVER CVE-2015-4852 SECURITY ALERT PATCH (NOV 2015) (补丁程序)	12.1.1.0.12	Generic Platform (American English)
22248372	SU Patch [VUMR]: WEBLOGIC SERVER CVE-2015-4852 SECURITY ALERT PATCH (补丁程序)	10.0.2MP	Generic Platform (American English)
22248372	WEBLOGIC SERVER CVE-2015-4852 SECURITY ALERT PATCH (NOV 2015) (补丁程序)	12.2.1.0.0	Generic Platform (American English)
22248372	WEBLOGIC SERVER CVE-2015-4852 SECURITY ALERT PATCH (NOV 2015) (补丁程序)	12.1.3.0.5	Generic Platform (American English)
22248372	WEBLOGIC SERVER CVE-2015-4852 SECURITY ALERT PATCH (NOV 2015) (补丁程序)	12.1.2.0.7	Generic Platform (American English)
22248372	SU Patch [ZLNA] :10.3.6.0.12 Overlay: WEBLOGIC SERVER CVE-2015-4852 SECURITY ALERT PATCH (NOV 2015) (补丁程序)	10.3.6.0.12	Generic Platform (American English)

根据自己所打的PSU版本，升级相应对应的补丁。

二、备份weblogic及domain

首先将对应的域文件和中间件安装目录打包备份。

tar{WL_HOME}yyyymmdd.tar{WL_HOME}
tar{MW_HOME}yyyymmdd.tar{MW_HOME}

三、Oracle官方解决方案

查出weblogic的版本号之后，根据补丁列表找到对应的补丁包。

需要执行语句修补的步骤如下：

用Linux主机的weblogic软件安装用户在{MW_HOME}/utils/bsu下执行第一步中查询版本的语句，这时在{MW_HOME}/utils/bsu会生成一个cache_dir文件夹

向这个文件夹上传对应的补丁包并解压

将解压后的patch-catalog_*.xml文件重命名为patch-catalog.xml这个标准文件名，否则系统会出现不自动读取的问题。
回到上一级目录，即{MW_HOME}/utils/bsu下，执行语句vi bsu.sh ，将其中的内存大小改为1G，即MEM_ARGS=”-Xms1521m –Xmx1521m”

修改增加内存：

vi/Oracle/Middleware/utils/bsu/bsu.sh
#!/bin/sh
JAVA_HOME="/Oracle/Middleware/jrockit_160_22_D1.1.1-3"
"$JAVA_HOME/bin/java"-Xms1521m-Xmx1512m-jar patch-client.jar$*

命令行方式

查看版本语句：

/Oracle/Middleware/utils/bsu/bsu.sh-prod_dir=/Oracle/Middleware/wlserver_10.3-status=applied-verbose–view

如果有老补丁已经安装请确认补丁是否被包含此补丁内，卸载补丁后再安装最新补丁，防止冲突

在{MW_HOME}/utils/bsu下，执行补丁安装命令

./bsu.sh-install-patch_download_dir={MW_HOME}/utils/bsu/cache_dir-patchlist={PATCH_ID}-prod_dir={MW_HOME}/{WL_HOME}

为了防止主机连接断开导致安装失败，可以使用后台安装命令

nohup./bsu.sh-install-patch_download_dir={MW_HOME}/utils/bsu/cache_dir-patchlist={PATCH_ID}-prod_dir={MW_HOME}/{WL_HOME}&tail-fnohup.out

例如：

/Oracle/Middleware/utils/bsu/bsu.sh-install-patch_download_dir=/Oracle/Middleware/utils/bsu/cache_dir-patchlist=K25M-prod_dir=/Oracle/Middleware/wlserver_10.3

安装后查看版本:

/Oracle/Middleware/utils/bsu/bsu.sh-prod_dir=/Oracle/Middleware/wlserver_10.3-status=applied-verbose–view

gui方式

设置环境变量：export DISPLAY=192.168.1.2:0.0

执行：

/Oracle/Middleware/utils/bsu/bsu.sh

图形界面

如果没有找不到，补丁程序->刷新，弹出验证窗口

检测补丁是否冲突，时间较长

然后点击’应用’

安装完成后

四、Oracle官方建议临时解决方案

不在Oracle 生命周期的weblogic产品建议采用MOS建议的T3协议过滤来缓解漏洞带来的危害

登入weblogic console控制台：

点击base_domain,-> ” 安全 “->” 筛选器 ”

修改连接筛选器，填入weblogic.security.net.ConnectionFilterImp

填入筛选规则：

当前测试规则为：

10.64.158.0/255.255.254.0 * 7001 allow t3 t3s

0.0.0.0/0 * * deny t3 t3s

规则解释为：只允许10.64.158网段的服务器可以通过7001端口使用T3协议访问该weblogic服务

引用文档：

http://docs.oracle.com/middleware/1221/wls/SCPRG/con_filtr.htm#SCPRG377

五、非Oracle官方临时解决方案一

在非Oracle官方的修复方法中，包含以下两种方法：

调整应用程序，使用SerialKiller类包替换进行反序列化操作的ObjectInputStream类。

下载jar包和实施步骤请参考链接：https://github.com/ikkisoft/SerialKiller

Apache官方最近发布了commons-collections的新版本，修复方法为替换有漏洞的commons-collections组件

下载地址：http://commons.apache.org/proper/commons-collections/download_collections.cgi

建议：原来是3.2.x就替换为3.2.2，原来是4.x就替换为4.4.1，若出现不兼容，请尝试替换另一个版本。

具体方法：

先停止weblogic，在中间件modules目录下存在名为

com.bea.core.apache.commons.collections_x.x.x.jar的文件

以及在应用目录下查找相关jar包：

find/{WL_HOME}-name'*commons.collections*'
find/{domain_home}-name'*commons.collections*'

下载最新的commons-collections（bin包，不是源码包），如：

用压缩包中的commons-collections-3.2.2.jar替换掉有漏洞的jar包，保持原jar包的名字，即名字不变换掉jar包
启动weblogic

六、非Oracle官方临时解决方案二

按照oracle官网所说8和9版本没有反序列漏洞，但是实际中，如果在应用中包含’*commons.collections*’的jar包，还是会在安全软件中扫描出反序列化漏洞。所以下面有对应版本的不同处理方式

weblogic8和weblogic9版本的反序列化漏洞修补

这两个系列版本的weblogic扫描出反序列化漏洞后，可以通过测试机先行测试，避免操作影响生产运行。可以直接克隆一台虚拟机进行测试，在主机上执行以下语句来查找导致漏洞的jar包

find/{WL_HOME}-name'*commons.collections*'
find/{domain_home}-name'*commons.collections*'

然后有两种处理方式：

使用 SerialKiller 替换进行序列化操作的 ObjectInputStream 类；
在不影响业务的情况下，临时删除掉项目里的

“org/apache/commons/collections/functors/InvokerTransformer.class” 文件；

这样就可以解决这两个系列版本的weblogic反序列化漏洞。

七、总结

上述的解决方案，提出如下建议：

首先掌握一种正确的测试方法，并在测试环境中进行验证测试。可参考github网站上老外提供的工具ysoserial-0.0.2，生成应用中间件脚步测试。
优先选择Oracle官方提供的打补丁的方式，影响范围比较小，不涉及应用程序。
在打补丁不能解决的情况下，再考虑非Oracle官方的方式，替换类包或删除相关类，但涉及应用程序，需要由应用维护人员进行测试、评估和实施。
反序列漏洞具体分析网上很多都已经分析透彻，如下：

http://www.tuicool.com/articles/ZvMbIne

http://www.2cto.com/article/201604/497315.html

https://github.com/frohoff/ysoserial.gitfrohoff/ysoserial

oracle mos

上一篇：分享一个即时的oracle数据库诊断工具--noodba
下一篇：记一次生产数据库告警日志提示TTC 协议内部错误解决过程

Weblogic之反序列化高危漏洞（websphere反序列化）

相关推荐

取消回复欢迎你发表评论:

生产系统数据库操作规范(2):（数据库生产库是什么意思）

Redis客户端 Jedis 与 Lettuce

高并发架构系列:Redis并发竞争key的解决方案详解

redis如何防止并发（redis如何防止高并发）

开源推荐:如何实现的一个高性能 Redis 服务器

Redis 入门 - 安装最全讲解(Windows、Linux、Docker)

redis安装与调优部署文档(WinServer)

一文带你了解 Redis 的发布与订阅的底层原理

Redis如何应对并发访问（redis控制并发量）

Java SE Development Kit 8u441下载地址【windows版本】

Weblogic之反序列化高危漏洞（websphere反序列化）

相关推荐

取消回复欢迎 你 发表评论:

生产系统数据库操作规范(2):（数据库生产库是什么意思）

Redis客户端 Jedis 与 Lettuce

高并发架构系列:Redis并发竞争key的解决方案详解

redis如何防止并发（redis如何防止高并发）

开源推荐:如何实现的一个高性能 Redis 服务器

Redis 入门 - 安装最全讲解(Windows、Linux、Docker)

redis安装与调优部署文档(WinServer)

一文带你了解 Redis 的发布与订阅的底层原理

Redis如何应对并发访问（redis控制并发量）

Java SE Development Kit 8u441下载地址【windows版本】

取消回复欢迎你发表评论: