Weblogic Java反序列化漏洞修復2

漏洞描述 
 
簡單來講序列化是將對象狀態轉換爲可保持或傳輸的格式的過程(bytestream)。與序列化相對的是反序列化，它將流(bytestream)轉換爲對象。這兩個過程結合起來，能夠輕鬆地存儲和傳輸數據  
日常情況下正常的數據流被反序列化的時候產生的是預期的正常的對象。可是當在進行反序列化的時候，被反序列化的數據是被通過惡意靜心構造的，此時反序列化以後就會產生非預期的惡意對象。這個時候就可能引發任意代碼執行。   
影響版本 
 
Oracle WebLogic服務器，版本10.3.6.0，12.1.2.0，12.1.3.0，12.2.1.0受到影響。 緩解建議在MOS注2076338.1是可用的，並將做爲新的信息變得可用更新。 
Oracle WebLogic服務器的補丁正在建立。補丁可用性信息將在MOS注2075927.1更新   
官網描述 
 
This Security Alert addresses security issue CVE-2015-4852, a deserialization vulnerability involving Apache Commons and Oracle WebLogic Server. This is a remote code execution vulnerability and is remotely exploitable without authentication, i.e., may be exploited over a network without the need for a username and password.   
官方聲明: 
http://www.oracle.com/technetwork/topics/security/alert-cve-2015-4852-2763333.html 
Weblogic 用戶將收到官方的修復支持 
  

 var cpro_psid ="u2572954"; var cpro_pswidth =966; var cpro_psheight =120;

 
Oracle Fusion Middleware Risk Matrix 
 
CVE# Component 
Protocol 
Sub- component Remote Exploit without Auth.? CVSS VERSION 2.0 RISK (see Risk Matrix Definitions) 
Supported 
Versions Affected Notes 
Base Score Access Vector Access Complexity Authen- tication 
Confiden- tiality 
Integrity 
Avail- ability CVE-2015-4852 
Oracle WebLogic Server 
T3 WLS Security 
Yes 
7.5 
Network 
Low 
None Partial+ Partial
+ 
Partial+ 
10.3.6.0,  12.
1.2.0, 12.1.3.0, 12.2.1.0 
      
 
解決方法 
臨時解決方案 
1 使用 SerialKiller 替換進行序列化操做的 ObjectInputStream 類；

 2 在不影響業務的狀況下，臨時刪除掉項目裏的 
「org/apache/commons/collections/functors/InvokerTransformer.class」 文件； 
官方解決方案： 
 p20780171_1036_Generic補丁 PATCH_ID - EJUW Patch number - 20780171