Oracle WebLogic中间件最新漏洞修复补丁以及修复方案说明(2019.7)

---------目录--------

1. 补丁集修复漏洞说明... 3

  1.1 Oracle WebLogic 10.3.6.0.190716. 3

  1.2 Oracle WebLogic 12.1.3.0.190716. 3

  1.3 Oracle WebLogic 12.2.1.3.190522. 4

2. WLS 内核组件漏洞说明... 5

3. 漏洞修复方案... 5

  3.1 WebLogic 10.3.6.0. 5

    3.1.1 停应用进程... 5

    3.1.2 环境备份... 6

    3.1.3 冲突补丁检测... 6

    3.1.4 卸载冲突补丁... 6

    3.1.5 安装最新补丁... 6

    3.1.6 核心业务测试... 7

  3.2 WebLogic 12.1.3.0. 7

    3.2.1 停应用进程... 7

    3.2.2 环境备份... 7

    3.2.3 安装最新补丁... 7

    3.2.4 核心业务测试... 8

  3.3 WebLogic 12.2.1.3. 8

    3.3.1 停应用进程... 8

    3.3.2 环境备份... 8

    3.3.3 升级opatch组件... 8

    3.3.4 安装最新补丁... 8

    3.3.5 核心业务测试... 9

 

  Oracle官方于2019年7月16日,发布了包括Oracle WebLogic 10.3.6.0、Oracle WebLogic 12.1.3.0、Oracle WebLogic 12.2.1.3这三个版本中间件的2019年第三季度的漏洞修复补丁。

1. 补丁集修复漏洞说明

1.1 Oracle WebLogic 10.3.6.0.190716

该补丁合集,修复了下面的漏洞:

-------------------------------------------------------------------------------29585099   THE BACKPORT OF 27057023 CONTAINS AN ERROR

23071867   AGL DS XA AFFINITY NOT HONORED IN SOME TX LOCAL RESOURCE ASSIGNMENT SCENARIOS

29448643   JAVA.IO.INVALIDCLASSEXCEPTION: FILTER STATUS: REJECTED

29671623   CVE-2019-2725

26403575   CVE-2016-7103

29667975   CVE-2019-2824

29726561   CVE-2019-2729

29701537   CVE-2019-2827

-------------------------------------------------------------------------------

1.2 Oracle WebLogic 12.1.3.0.190716

补丁合集,修复了下面的漏洞:

-------------------------------------------------------------------------------

29667975: CVE-2019-2824

29671623: CVE-2019-2725

26403575: CVE-2016-7103

29701537: CVE-2019-2827

29870012: WLDATASOURCE.GETCONNECTIONTOINSTANCE(STRING INSTANCE) CAN FAIL IF NO CONNECTIONS TO INSTANCE HAVE BEEN PROCESSED

29448643: JAVA.IO.INVALIDCLASSEXCEPTION: FILTER STATUS: REJECTED

29312272: WSDL ERROR MUST ATTRIBUTE ‘NAME‘ NOTFOUND IN ELEMENT  ‘BINDING

23071867: AGL DS XA AFFINITY NOT HONORED IN SOME TX LOCAL RESOURCE ASSIGNMENT SCENARIOS

29726561: CVE-2019-2729

-------------------------------------------------------------------------------

1.3 Oracle WebLogic 12.2.1.3.190522

补丁合集,修复了下面的漏洞:

-------------------------------------------------------------------------------

25369207: JAVA.LANG.OUTOFMEMORY ERROR HAPPENS WHEN INITIALIZING AN APPLICATION

29338121: CVE-2019-2799

29448643: JAVA.IO.INVALIDCLASSEXCEPTION: FILTER STATUS: REJECTED

29312272: WSDL ERROR MUST ATTRIBUTE ‘NAME‘ NOTFOUND IN ELEMENT  ‘BINDING

26987594: ALLOW SUPRESSING CROSS COMPONENT WIRING PROCESSING DURING PROVISIONING

27010571: <BEA-000503> <INCOMING MESSAGE HEADER OR ABBREVIATION PROCESSING FAILED

26075541: .APPMERGEGEN_$DIGIT DIR REMAIN EVERY TIME BY DEPLOYING A EAR ON WLS 12.2.1

27823500: REGRESSION BUG WHICH INTRODUCED BY THE BUG FIXING OF 27678101

27248932: TRACKING BUG FOR 26941603 FOR WLS

25294832: WLS 12.2.1.2 DEPLOYMENT ERRORSMETHOD _JSPSERVICE EXCEEDS 65535 BYTES LIMIT

26131085: IMPROVE CORRUPT STORE RECOVERY

27659077: JSPS ARE GETTING RECOMPILED ON EVERY REQUEST

26403575: CVE-2016-7103

29667975: CVE-2019-2824

28278427: VERSION ADDED TWICE WHEN SAVING A SECURITY POLICY

29726561: CVE-2019-2729

29701537: CVE-2019-2827

29411629: CVE-2019-2856

29789769: FIXED AN ISSUE WITH XMLDECODER

-------------------------------------------------------------------------------

2. WLS 内核组件漏洞说明

CVE-2019-2824、CVE-2019-2827是涉及WebLogic内核组件的安全漏洞,影响了包括10.3.6.0、12.1.3.0、12.2.1.3这三个主流版本的weblogic中间件。因此建议生产环境Oracle WebLogic 10.3.6.0、12.1.3.0分别安装20190716这个补丁合集,Oracle WebLogic 12.2.1.3安装20190522这个补丁合集。

说明:

1) WebLogic 11g在补丁更新前需要删除(参数:-remove)之前安装的补丁;

2) WebLogic 12c(12.1.3.0、12.2.1.3)可以直接安装覆盖之前的补丁;

3) WebLogic 12.2.1.3在安装补丁之前需要升级optach组件版本到13.9.4.2.0。

3. 漏洞修复方案

 3.1 WebLogic 10.3.6.0

  3.1.1 停应用进程

 将当前主机下的所有weblogic 10.3.6.0中间件启动的Java进程都停掉。

  3.1.2 环境备份

将weblogic安装程序,以及应用域做tar包备份。

  3.1.3 冲突补丁检测

  安装7月份最新补丁,以检测冲突的补丁,以下为案例:


[[email protected] bsu]$ ./bsu.sh -install -patchlist=MXLE -prod_dir=/weblogic/Oracle/Middleware/wlserver_10.3 -verbose

检查冲突..

检测到冲突 - 解决冲突情形并重新执行补丁程序安装

下面是冲突情形详细资料:

补丁程序 MXLE 与以下补丁程序互相排斥且不能共存: U5I2,6JJ4

  3.1.4 卸载冲突补丁


./bsu.sh -remove -patchlist=6JJ4 -prod_dir=/weblogic/Oracle/Middleware/wlserver_10.3 -verbose


./bsu.sh -remove -patchlist=U5I2 -prod_dir=/weblogic/Oracle/Middleware/wlserver_10.3 -verbose

  备注:卸载顺序可能会影响到卸载是否成功。

 

  3.1.5 安装最新补丁


./bsu.sh -install -patchlist=MXLE -prod_dir=/weblogic/Oracle/Middleware/wlserver_10.3 -verbose

  补丁包:p29633432_1036_Generic.zip

  安装完成后,到下面的目录下,删除风险组件:uddiexplorer.war

  /weblogic/Oracle/Middleware/wlserver_10.3/server/lib

  安装补丁后,记得使用weblogic安装用户,将weblogic目录重新授权。


chmod -R 755 ./Oracle

  使用下面的命令,可以查看安装补丁后的最新补丁版本信息:


source ${WLS_HOME}/wlserver/server/bin/setWLSEnv.sh

java weblogic.version

  3.1.6 核心业务测试

  启动weblogic应用进程,注意进程是否可以成功启动,启动过程中是否有异常报错,进程启动后对核心业务做测试。

3.2 WebLogic 12.1.3.0

  3.2.1 停应用进程

  参考:3.1.1章节

  3.2.2 环境备份

  参考:3.1.2章节

  3.2.3 安装最新补丁

  将补丁包上传到WebLogic中间件所在主机的目录下,解压zip包。

  补丁包:p29633448_121300_Generic.zip

  cd切换目录到解压后的补丁包的文件夹下,然后执行下面的命令:


${WLS_HOME}/OPatch/opatch apply -jdk ${JAVA_HOME}

  安装补丁后,记得使用weblogic安装用户,将weblogic目录重新授权。


chmod -R 755 ./Oracle

  使用下面的命令可以查看补丁后的版本:


${WLS_HOME}/OPatch/opatch lspatches

  3.2.4 核心业务测试

  参考:3.1.6章节

  3.3 WebLogic 12.2.1.3

  3.3.1 停应用进程

  参考:3.1.1章节

  3.3.2 环境备份

  参考:3.1.2章节

  3.3.3 升级opatch组件

  将下载的opatch最新版本压缩包上传到安装了weblogic 12.2.1.3中间件的主机,解压压缩包(p28186730_139400_Generic.zip),然后进入到目录最里层,执行下面的命令即可升级optach组件。示例:


java -jar /weblogic/6880880/opatch_generic.jar -silent oracle_home=/weblogic/Oracle/Middleware/Oracle_Home

  升级完成后,可以用下面的命令查看opatch的版本号


/weblogic/Oracle/Middleware/Oracle_Home/OPatch/opatch version

  3.3.4 安装最新补丁

  将最新的补丁包上传到weblogic 12.2.1.3中间件所在主机的目录下,解压压缩包,然后切换到解压后的目录下,执行下面的命令即可:


cd /weblogic/29814665

/weblogic/Oracle/Middleware/Oracle_Home/OPatch/opatch apply -jdk ${JAVA_HOME}

  安装补丁后,记得使用weblogic安装用户,将weblogic目录重新授权。


chmod -R 755 ./Oracle

  安装完成以后,执行下面的命令可以查看最新的补丁版本


/weblogic/Oracle/Middleware/Oracle_Home/OPatch/opatch lspatches

  3.3.5 核心业务测试

  参考:3.1.6章节

参考:

https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html

-----------------------------------------------------------------------------------------------------------------------------------------------

  原创文章,转载请务必注明原文地址:https://www.cnblogs.com/cnskylee/p/11200191.html

  否则将保留依法追究著作权的权利.

  2019年7月17日 12:21 于 安徽 合肥

-----------------------------------------------------------------------------------------------------------------------------------------------

原文地址:https://www.cnblogs.com/cnskylee/p/11200191.html

时间: 2024-11-09 04:59:48

Oracle WebLogic中间件最新漏洞修复补丁以及修复方案说明(2019.7)的相关文章

WebLogic中间件基础入门培训教程_WebLogic部署配置视频教程

WebLogic中间件基础入门培训教程_WebLogic部署配置视频教程 WebLogic中间件基础入门培训教程_WebLogic部署配置视频教程5 风哥主讲:介绍Oracle WebLogic中间件的概念,WebLogic概念,域,JDK,JVM,数据源,连接池,控制台,集群相关,Weblogic安装与部署. 视频学习地址: http://edu.51cto.com/course/course_id-3744.html

【知道创宇404实验室】Oracle WebLogic远程命令执行漏洞预警

2019年04月17日,国家信息安全漏洞共享平台(CNVD)官方发布安全公告 http://www.cnvd.org.cn/webinfo/show/4989 称Oracle WebLogic wls9-async组件存在反序列化远程命令执行漏洞,***者可利用该漏洞,可在未授权的情况下远程执行命令.随后知道创宇404实验室启动应急流程,通过分析后复现了该漏洞并确定该漏洞影响启用了wls9_async_response.war及wls-wsat.war组件的所有Weblogic版本(包括最新版本

[Shell]CVE-2019-0708漏洞复现及修复补丁

0x01 漏洞原理 Windows系列服务器于2019年5月15号,被爆出高危漏洞,该漏洞影响范围较广,windows2003.windows2008.windows2008 R2.windows 7系统都会遭到攻击,该服务器漏洞利用方式是通过远程桌面端口3389,RDP协议进行攻击的. 这个漏洞是今年来说危害严重性最大的漏洞,跟之前的勒索,永恒之蓝病毒差不多. CVE-2019-0708漏洞是通过检查用户的身份认证,导致可以绕过认证,不用任何的交互,直接通过rdp协议进行连接发送恶意代码执行命

Web中间件常见漏洞总结

一.IIS中间组件: 1.PUT漏洞 2.短文件名猜解 3.远程代码执行 4.解析漏洞 二.Apache中间组件: 1.解析漏洞 2.目录遍历 三.Nginx中间组件: 1.文件解析 2.目录遍历 3.CRLF注入 4.目录穿越 四.Tomcat中间组件: 1.远程代码执行 2.war后门文件部署 五.jBoss中间组件: 1.反序列化漏洞 2.war后门文件部署 六.WebLogic中间组件: 1.反序列化漏洞 2.SSRF 3.任意文件上传 4.war后门文件部署 七.其它中间件相关漏洞 1

Oracle WebLogic Server 12c 新特性

美国时间2011年 12月9日,Oracle公司正式发布WebLogic 12c版本,c是cloud的缩写.截止当前(2013年8月)最新版本为Oracle WebLogic Server 12c (12.1.2).12c 最大的功能改进是完全支持Java EE 6标准,此版本主要基于 JDK 6,但支持JDK 7.开发人员可以下载163MB的ZIP版本 Oracle WebLogic Server 12c 提供了对客户和合作伙伴的重大增强来降低其总体拥有成本并向现有应用架构提供更多价值,于此同

Ewebeditor最新漏洞及漏洞大全

Ewebeditor最新漏洞及漏洞大全[收集] 来源:转载作者:佚名时间:2009-06-03 00:04:26 下面文章收集转载于网络:) 算是比較全面的ewebeditor编辑器的漏洞收集,如今的站点大多数用的都是ewebeditor编辑器, 所以ewebeditor漏洞的危害性还是相当大的,做了一下漏洞收集,漏洞修补的方法可去网上查找. 漏洞更新日期TM: 2009 2 9日转自zake'S Blog ewebeditor最新漏洞.这个程序爆漏洞一般都是直接上传的漏洞,首先在本地搭建一个A

解决Oracle+weblogic系统死机的问题

前段时间发布的系统(Oracle+weblogic)频繁挂掉,每天早上9点.下午2点高峰期就挂,纠结了很长时间,最终解决,方法描述下. 执行select count(*),status from v$session group by status;指令,发现不活动连接数比较大,当上升到一定数值之和,就挂. 做了下面优化,包括数据库的优化和WebLogic的优化. 1.数据库优化 1)  创建pfile SQL>create pfile from spfile 检查 oracle/product/

BBSXP最新漏洞 简单注入检測 万能password

BBSXP最新漏洞 漏洞日期:2005年7月1日受害版本号:眼下全部BBSXP漏洞利用:查前台password注入语句:blog.asp?id=1%20union%20select%201,1,userpass,username,1,1,1%20from%20[user]%20where%20membercode=5 查后台password注入语句:blog.asp?id=1%20union%20select%201,1,adminpassword,username,1,1,1%20from%2

Android 热补丁动态修复框架小结

转载请标明出处: http://blog.csdn.net/lmj623565791/article/details/49883661: 本文出自:[张鸿洋的博客] 一.概述 最新github上开源了很多热补丁动态修复框架,大致有: https://github.com/dodola/HotFix https://github.com/jasonross/Nuwa https://github.com/bunnyblue/DroidFix 上述三个框架呢,根据其描述,原理都来自:安卓App热补丁