---------目录--------
1. 补丁集修复漏洞说明... 3
1.1 Oracle WebLogic 10.3.6.0.190716. 3
1.2 Oracle WebLogic 12.1.3.0.190716. 3
1.3 Oracle WebLogic 12.2.1.3.190522. 4
2. WLS 内核组件漏洞说明... 5
3. 漏洞修复方案... 5
3.1 WebLogic 10.3.6.0. 5
3.1.1 停应用进程... 5
3.1.2 环境备份... 6
3.1.3 冲突补丁检测... 6
3.1.4 卸载冲突补丁... 6
3.1.5 安装最新补丁... 6
3.1.6 核心业务测试... 7
3.2 WebLogic 12.1.3.0. 7
3.2.1 停应用进程... 7
3.2.2 环境备份... 7
3.2.3 安装最新补丁... 7
3.2.4 核心业务测试... 8
3.3 WebLogic 12.2.1.3. 8
3.3.1 停应用进程... 8
3.3.2 环境备份... 8
3.3.3 升级opatch组件... 8
3.3.4 安装最新补丁... 8
3.3.5 核心业务测试... 9
Oracle官方于2019年7月16日,发布了包括Oracle WebLogic 10.3.6.0、Oracle WebLogic 12.1.3.0、Oracle WebLogic 12.2.1.3这三个版本中间件的2019年第三季度的漏洞修复补丁。
1. 补丁集修复漏洞说明
1.1 Oracle WebLogic 10.3.6.0.190716
该补丁合集,修复了下面的漏洞:
-------------------------------------------------------------------------------29585099 THE BACKPORT OF 27057023 CONTAINS AN ERROR
23071867 AGL DS XA AFFINITY NOT HONORED IN SOME TX LOCAL RESOURCE ASSIGNMENT SCENARIOS
29448643 JAVA.IO.INVALIDCLASSEXCEPTION: FILTER STATUS: REJECTED
29671623 CVE-2019-2725
26403575 CVE-2016-7103
29667975 CVE-2019-2824
29726561 CVE-2019-2729
29701537 CVE-2019-2827
-------------------------------------------------------------------------------
1.2 Oracle WebLogic 12.1.3.0.190716
补丁合集,修复了下面的漏洞:
-------------------------------------------------------------------------------
29667975: CVE-2019-2824
29671623: CVE-2019-2725
26403575: CVE-2016-7103
29701537: CVE-2019-2827
29870012: WLDATASOURCE.GETCONNECTIONTOINSTANCE(STRING INSTANCE) CAN FAIL IF NO CONNECTIONS TO INSTANCE HAVE BEEN PROCESSED
29448643: JAVA.IO.INVALIDCLASSEXCEPTION: FILTER STATUS: REJECTED
29312272: WSDL ERROR MUST ATTRIBUTE 'NAME' NOTFOUND IN ELEMENT 'BINDING
23071867: AGL DS XA AFFINITY NOT HONORED IN SOME TX LOCAL RESOURCE ASSIGNMENT SCENARIOS
29726561: CVE-2019-2729
-------------------------------------------------------------------------------
1.3 Oracle WebLogic 12.2.1.3.190522
补丁合集,修复了下面的漏洞:
-------------------------------------------------------------------------------
25369207: JAVA.LANG.OUTOFMEMORY ERROR HAPPENS WHEN INITIALIZING AN APPLICATION
29338121: CVE-2019-2799
29448643: JAVA.IO.INVALIDCLASSEXCEPTION: FILTER STATUS: REJECTED
29312272: WSDL ERROR MUST ATTRIBUTE 'NAME' NOTFOUND IN ELEMENT 'BINDING
26987594: ALLOW SUPRESSING CROSS COMPONENT WIRING PROCESSING DURING PROVISIONING
27010571: <BEA-000503> <INCOMING MESSAGE HEADER OR ABBREVIATION PROCESSING FAILED
26075541: .APPMERGEGEN_$DIGIT DIR REMAIN EVERY TIME BY DEPLOYING A EAR ON WLS 12.2.1
27823500: REGRESSION BUG WHICH INTRODUCED BY THE BUG FIXING OF 27678101
27248932: TRACKING BUG FOR 26941603 FOR WLS
25294832: WLS 12.2.1.2 DEPLOYMENT ERRORSMETHOD _JSPSERVICE EXCEEDS 65535 BYTES LIMIT
26131085: IMPROVE CORRUPT STORE RECOVERY
27659077: JSPS ARE GETTING RECOMPILED ON EVERY REQUEST
26403575: CVE-2016-7103
29667975: CVE-2019-2824
28278427: VERSION ADDED TWICE WHEN SAVING A SECURITY POLICY
29726561: CVE-2019-2729
29701537: CVE-2019-2827
29411629: CVE-2019-2856
29789769: FIXED AN ISSUE WITH XMLDECODER
-------------------------------------------------------------------------------
2. WLS 内核组件漏洞说明
CVE-2019-2824、CVE-2019-2827是涉及WebLogic内核组件的安全漏洞,影响了包括10.3.6.0、12.1.3.0、12.2.1.3这三个主流版本的weblogic中间件。因此建议生产环境Oracle WebLogic 10.3.6.0、12.1.3.0分别安装20190716这个补丁合集,Oracle WebLogic 12.2.1.3安装20190522这个补丁合集。
说明:
1) WebLogic 11g在补丁更新前需要删除(参数:-remove)之前安装的补丁;
2) WebLogic 12c(12.1.3.0、12.2.1.3)可以直接安装覆盖之前的补丁;
3) WebLogic 12.2.1.3在安装补丁之前需要升级optach组件版本到13.9.4.2.0。
3. 漏洞修复方案
3.1 WebLogic 10.3.6.0
3.1.1 停应用进程
将当前主机下的所有weblogic 10.3.6.0中间件启动的Java进程都停掉。
3.1.2 环境备份
将weblogic安装程序,以及应用域做tar包备份。
3.1.3 冲突补丁检测
安装7月份最新补丁,以检测冲突的补丁,以下为案例:
| [weblogic@RHEL8-0 bsu]$ ./bsu.sh -install -patchlist=MXLE -prod_dir=/weblogic/Oracle/Middleware/wlserver_10.3 -verbose 检查冲突.. 检测到冲突 - 解决冲突情形并重新执行补丁程序安装 下面是冲突情形详细资料: 补丁程序 MXLE 与以下补丁程序互相排斥且不能共存: U5I2,6JJ4 |
3.1.4 卸载冲突补丁
| ./bsu.sh -remove -patchlist=6JJ4 -prod_dir=/weblogic/Oracle/Middleware/wlserver_10.3 -verbose |
| ./bsu.sh -remove -patchlist=U5I2 -prod_dir=/weblogic/Oracle/Middleware/wlserver_10.3 -verbose |
备注:卸载顺序可能会影响到卸载是否成功。
3.1.5 安装最新补丁
| ./bsu.sh -install -patchlist=MXLE -prod_dir=/weblogic/Oracle/Middleware/wlserver_10.3 -verbose |
补丁包:p29633432_1036_Generic.zip
安装完成后,到下面的目录下,删除风险组件:uddiexplorer.war
/weblogic/Oracle/Middleware/wlserver_10.3/server/lib
安装补丁后,记得使用weblogic安装用户,将weblogic目录重新授权。
| chmod -R 755 ./Oracle |
使用下面的命令,可以查看安装补丁后的最新补丁版本信息:
| source ${WLS_HOME}/wlserver/server/bin/setWLSEnv.sh java weblogic.version |
3.1.6 核心业务测试
启动weblogic应用进程,注意进程是否可以成功启动,启动过程中是否有异常报错,进程启动后对核心业务做测试。
3.2 WebLogic 12.1.3.0
3.2.1 停应用进程
参考:3.1.1章节
3.2.2 环境备份
参考:3.1.2章节
3.2.3 安装最新补丁
将补丁包上传到WebLogic中间件所在主机的目录下,解压zip包。
补丁包:p29633448_121300_Generic.zip
cd切换目录到解压后的补丁包的文件夹下,然后执行下面的命令:
| ${WLS_HOME}/OPatch/opatch apply -jdk ${JAVA_HOME} |
安装补丁后,记得使用weblogic安装用户,将weblogic目录重新授权。
| chmod -R 755 ./Oracle |
使用下面的命令可以查看补丁后的版本:
| ${WLS_HOME}/OPatch/opatch lspatches |
3.2.4 核心业务测试
参考:3.1.6章节
3.3 WebLogic 12.2.1.3
3.3.1 停应用进程
参考:3.1.1章节
3.3.2 环境备份
参考:3.1.2章节
3.3.3 升级opatch组件
将下载的opatch最新版本压缩包上传到安装了weblogic 12.2.1.3中间件的主机,解压压缩包(p28186730_139400_Generic.zip),然后进入到目录最里层,执行下面的命令即可升级optach组件。示例:
| java -jar /weblogic/6880880/opatch_generic.jar -silent oracle_home=/weblogic/Oracle/Middleware/Oracle_Home |
升级完成后,可以用下面的命令查看opatch的版本号
| /weblogic/Oracle/Middleware/Oracle_Home/OPatch/opatch version |
3.3.4 安装最新补丁
将最新的补丁包上传到weblogic 12.2.1.3中间件所在主机的目录下,解压压缩包,然后切换到解压后的目录下,执行下面的命令即可:
| cd /weblogic/29814665 /weblogic/Oracle/Middleware/Oracle_Home/OPatch/opatch apply -jdk ${JAVA_HOME} |
安装补丁后,记得使用weblogic安装用户,将weblogic目录重新授权。
| chmod -R 755 ./Oracle |
安装完成以后,执行下面的命令可以查看最新的补丁版本
| /weblogic/Oracle/Middleware/Oracle_Home/OPatch/opatch lspatches |
3.3.5 核心业务测试
参考:3.1.6章节
参考:
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html
-----------------------------------------------------------------------------------------------------------------------------------------------
原创文章,转载请务必注明原文地址:https://www.cnblogs.com/cnskylee/p/11200191.html
否则将保留依法追究著作权的权利.
2019年7月17日 12:21 于 安徽 合肥
-----------------------------------------------------------------------------------------------------------------------------------------------