weblogic有漏洞CVE-2018-3191,查看oracle官方说明
Oracle Critical Patch Update - October 2018
T3协议的漏洞,共有三个版本受影响10.3.6.0, 12.1.3.0, 12.2.1.3
漏洞修改:
WebLogic远程代码执行漏洞CVE-2018-3191 技术分析与防护方案 – 绿盟科技技术博客
oracle的补丁Critical Patch Update每季度发布一次,这是官网地址:
Critical Patch Updates, Security Alerts and Bulletins
需要注意的是,这个补丁是累计的,但只显示上一个发布补丁到这个补丁时间段内新补丁的说明。
官网原文是:关键补丁更新是针对多个安全漏洞的补丁集合。关键修补程序更新修补程序通常是累积的,但每个通知仅描述自上一个关键补丁程序更新通知以来添加的安全修复程序。
方法1:下载oracle官方补丁
Oracle官方补丁需要用户持有正版软件的许可账号,使用该账号登陆https://support.oracle.com后,可以下载最新补丁。
总的来说打weblogic补丁要(事前要把weblogic服务停止掉)
1>安装opatch工具(在WebLogic 12.1.2版本以后,给WebLogic打补丁不再使用bsu工具(Smart Updater),而是使用opatch工具来打。)
2>打相对应的补丁包
下载opatch地址:https://updates.oracle.com/download/6880880.html
也是需要有一个有下载权限的MOS账号,不然这里的download是灰色的。
或者百度上找其他人上传的OPatch安装包。
linux中解压后,选择ORACLE_HOME位置安装:
java -jar opatch_generic.jar -silent oracle_home=/home/oracle
指定oraInventory路径时,需要加参数-invPtrLoc
java -jar opatch_generic.jar -silent oracle_home=/data/app/middleware12c -invPtrLoc /home/weblogic/oraInst.loc
安装好后,查看OPatch版本:
查看已安装的补丁:
./opatch lspatches
打补丁到时候最好关闭oracle或者应用:
opatch apply 补丁的目录
opatch apply /home/weblogic/33494824/
成功显示:
查看安装的补丁:
opatch lspatches
opatch lsinventory
本来有报错,后来重新运行就没事了.....
但是补丁打好后,启动weblogic server报错,先回滚:
opatch rollback -id 33494824
如果opatch版本低,则会提示
方法2:设置T3协议筛选器
weblogic配置过滤器ip方法_可可可西里的博客-CSDN博客_weblogic 过滤器filter配置
t3协议设置筛选器
weblogic.security.net.ConnectionFilterImpl
127.0.0.1 * * allow t3 t3s
0.0.0.0/0 * * deny t3 t3s
禁用IIOP协议
服务器中既安装了weblogic12.2.1.3也装了12.2.1.4版本,现在需要对两个版本应用打补丁。麻烦的是这两个应用同一个用户安装在不同目录下。
weblogic在安装的时候必然会有一个ORACLE_HOME,环境中出现同一个用户可以启动两个版本的weblogic原因是:安装的时候同事用同一个用户临时设置了不同的ORACLE_HOME或者安装的时候用不同的用户,后来修改了用户权限
在启动weblogic后可以在控制台-监视里看到漏洞的版本,但这个版本显示是根据启动脚本时命令窗户下ORACLE_HOME决定的,并不是weblogic实际的漏洞!
可以看到我先给weblogic12.2.1.3升级补丁,启动12.2.1.4版本后也会显示这些补丁,说明补丁是根据用户的oracle_home显示的。
解决方法:
使用同一个用户,但是打补丁时为用户设置不同的ORACLE_HOME即可!
同时,若想让启动后的控制台显示补丁版本,可以启动前重置一下ORACLE_HOME。
重新打补丁后:
参考文章:
【WebLogic】查看当前的WebLogic补丁修复了哪些漏洞_weblogic补丁查看_cnskylee的博客-CSDN博客