Weblogic Java反序列化漏洞修复2

漏洞描述 
 
简单来讲序列化是将对象状态转换为可保持或传输的格式的过程(bytestream)。与序列化相对的是反序列化，它将流(bytestream)转换为对象。这两个过程结合起来，能够轻松地存储和传输数据  
日常情况下正常的数据流被反序列化的时候产生的是预期的正常的对象。可是当在进行反序列化的时候，被反序列化的数据是被通过恶意静心构造的，此时反序列化以后就会产生非预期的恶意对象。这个时候就可能引发任意代码执行。   
影响版本 
 
Oracle WebLogic服务器，版本10.3.6.0，12.1.2.0，12.1.3.0，12.2.1.0受到影响。 缓解建议在MOS注2076338.1是可用的，并将做为新的信息变得可用更新。 
Oracle WebLogic服务器的补丁正在建立。补丁可用性信息将在MOS注2075927.1更新   
官网描述 
 
This Security Alert addresses security issue CVE-2015-4852, a deserialization vulnerability involving Apache Commons and Oracle WebLogic Server. This is a remote code execution vulnerability and is remotely exploitable without authentication, i.e., may be exploited over a network without the need for a username and password.   
官方声明: 
http://www.oracle.com/technetwork/topics/security/alert-cve-2015-4852-2763333.html 
Weblogic 用户将收到官方的修复支持 
  

 var cpro_psid ="u2572954"; var cpro_pswidth =966; var cpro_psheight =120;

 
Oracle Fusion Middleware Risk Matrix 
 
CVE# Component 
Protocol 
Sub- component Remote Exploit without Auth.? CVSS VERSION 2.0 RISK (see Risk Matrix Definitions) 
Supported 
Versions Affected Notes 
Base Score Access Vector Access Complexity Authen- tication 
Confiden- tiality 
Integrity 
Avail- ability CVE-2015-4852 
Oracle WebLogic Server 
T3 WLS Security 
Yes 
7.5 
Network 
Low 
None Partial+ Partial
+ 
Partial+ 
10.3.6.0,  12.
1.2.0, 12.1.3.0, 12.2.1.0 
      
 
解决方法 
临时解决方案 
1 使用 SerialKiller 替换进行序列化操做的 ObjectInputStream 类；

 2 在不影响业务的状况下，临时删除掉项目里的 
“org/apache/commons/collections/functors/InvokerTransformer.class” 文件； 
官方解决方案： 
 p20780171_1036_Generic补丁 PATCH_ID - EJUW Patch number - 20780171