Java反序列化修復方案

1）下載與當前大版本相同的commons-collections包（原來是3.2.x就替換爲3.2.2，原來是4.x就替換爲4.4.1）

下載連接：http://commons.apache.org/proper/commons-collections/download_collections.cgi

 

 

2）解壓出其中的commons-collections-x.x.x.jar

 

 

3）找到domain對應目錄下的commons-collections.*.jar（*表示空或版本號）對其進行備份

 

4）上傳新下載的commons-collections-x.x.x.jar，替換找到的commons-collections.*.jar（名稱改爲和ommons-collections.*.jar原來的同樣）

 

5）使用上傳的commons-collections-x.x.x.jar，替換$WEBLOGIC_HOME/modules文件夾下的com.bea.core.apache.commons.collections_x.x.x.jar（名稱和原來同樣）

 

6）重啓集羣生效（控制檯和受控server）

 

說明：

1.commons-collections-4.4.1.jar對InvokerTransformer.class中的漏洞進行了修復，commons-collections-3.2.2.jar只是將InvokerTransformer.class標誌爲不安全函數默認不啓用。

2.weblogic多是先在本身的modules文件夾下找有沒有須要的java包，而後再到應用文件夾中找是否有相應jar包，因此4）和5）都須要作（反之可能只作5）就行，沒試過）。