ICode9

精准搜索请尝试: 精确搜索
首页 > 数据库> 文章详细

【漏洞公告】Oracle WebLogic核心组件漏洞(CVE-2019-2824、CVE-2019-2827)修复补丁以及修复方案说明(原创文章)

2019-07-17 17:04:02  阅读:53  来源: 互联网

标签:3.1 补丁 漏洞 2019 weblogic Oracle WebLogic CVE



- 本文目录 - 

1. 补丁集修复漏洞说明

    1.1 Oracle WebLogic 10.3.6.0.190716

    1.2 Oracle WebLogic 12.1.3.0.190716

    1.3 Oracle WebLogic 12.2.1.3.190522

2. WLS 内核组件漏洞说明

3. 漏洞修复方案

    3.1 WebLogic 10.3.6.0

        3.1.1 停应用进程

        3.1.2 环境备份

        3.1.3 冲突补丁检测

        3.1.4 卸载冲突补丁

        3.1.5 安装最新补丁

        3.1.6 核心业务测试

    3.2 WebLogic 12.1.3.0

        3.2.1 停应用进程

        3.2.2 环境备份

        3.2.3 安装最新补丁

        3.2.4 核心业务测试

    3.3 WebLogic 12.2.1.3

        3.3.1 停应用进程

        3.3.2 环境备份

        3.3.3 升级opatch组件

        3.3.4 安装最新补丁

        3.3.5 核心业务测试

 

Oracle官方于2019年7月16日(2019年第三季度)发布了三个主流版本的WebLogic中间件的漏洞修复补丁。受影响的WebLogic中间件版本如下:

  •     Oracle WebLogic Server 10.3.6.0
  •     Oracle WebLogic Server 12.1.3.0
  •     Oracle WebLogic Server 12.2.1.3

1. 补丁集修复漏洞说明

1.1 Oracle WebLogic 10.3.6.0.190716

该补丁合集修复了下面新增的安全漏洞:

  • 29585099   THE BACKPORT OF 27057023 CONTAINS AN ERROR
  • 23071867   AGL DS XA AFFINITY NOT HONORED IN SOME TX LOCAL RESOURCE ASSIGNMENT SCENARIOS
  • 29448643   JAVA.IO.INVALIDCLASSEXCEPTION: FILTER STATUS: REJECTED
  • 29671623   CVE-2019-2725
  • 26403575   CVE-2016-7103
  • 29667975   CVE-2019-2824
  • 29726561   CVE-2019-2729
  • 29701537   CVE-2019-2827

1.2 Oracle WebLogic 12.1.3.0.190716

该补丁合集修复了下面新增的安全漏洞:

  •  29667975: CVE-2019-2824
  •  29671623: CVE-2019-2725
  •  26403575: CVE-2016-7103
  •  29701537: CVE-2019-2827
  •  29870012: WLDATASOURCE.GETCONNECTIONTOINSTANCE(STRING INSTANCE) CAN FAIL IF NO CONNECTIONS TO INSTANCE HAVE BEEN PROCESSED
  •  29448643: JAVA.IO.INVALIDCLASSEXCEPTION: FILTER STATUS: REJECTED
  •  29312272: WSDL ERROR MUST ATTRIBUTE 'NAME' NOTFOUND IN ELEMENT  'BINDING
  •  23071867: AGL DS XA AFFINITY NOT HONORED IN SOME TX LOCAL RESOURCE ASSIGNMENT SCENARIOS
  •  29726561: CVE-2019-2729

1.3 Oracle WebLogic 12.2.1.3.190522

该补丁合集修复了下面新增的安全漏洞:

  •  25369207: JAVA.LANG.OUTOFMEMORY ERROR HAPPENS WHEN INITIALIZING AN APPLICATION
  •  29338121: CVE-2019-2799
  •  29448643: JAVA.IO.INVALIDCLASSEXCEPTION: FILTER STATUS: REJECTED
  •  29312272: WSDL ERROR MUST ATTRIBUTE 'NAME' NOTFOUND IN ELEMENT  'BINDING
  •  26987594: ALLOW SUPRESSING CROSS COMPONENT WIRING PROCESSING DURING PROVISIONING
  •  27010571: <BEA-000503> <INCOMING MESSAGE HEADER OR ABBREVIATION PROCESSING FAILED
  •  26075541: .APPMERGEGEN_$DIGIT DIR REMAIN EVERY TIME BY DEPLOYING A EAR ON WLS 12.2.1
  •  27823500: REGRESSION BUG WHICH INTRODUCED BY THE BUG FIXING OF 27678101
  •  27248932: TRACKING BUG FOR 26941603 FOR WLS
  •  25294832: WLS 12.2.1.2 DEPLOYMENT ERRORSMETHOD _JSPSERVICE EXCEEDS 65535 BYTES LIMIT
  •  26131085: IMPROVE CORRUPT STORE RECOVERY
  •  27659077: JSPS ARE GETTING RECOMPILED ON EVERY REQUEST
  •  26403575: CVE-2016-7103
  •  29667975: CVE-2019-2824
  •  28278427: VERSION ADDED TWICE WHEN SAVING A SECURITY POLICY
  •  29726561: CVE-2019-2729
  •  29701537: CVE-2019-2827
  •  29411629: CVE-2019-2856
  •  29789769: FIXED AN ISSUE WITH XMLDECODER

 

2. WLS 内核组件漏洞说明

    CVE-2019-2824、CVE-2019-2827是涉及WebLogic内核组件的安全漏洞,影响了包括10.3.6.0、12.1.3.0、12.2.1.3这三个主流版本的weblogic中间件。因此建议生产环境Oracle WebLogic 10.3.6.0、12.1.3.0分别安装20190716这个补丁合集,Oracle WebLogic 12.2.1.3安装20190522这个补丁合集。

说明:

1) WebLogic 11g在补丁更新前需要删除(参数:-remove)之前安装的补丁;

2) WebLogic 12c(12.1.3.0、12.2.1.3)可以直接安装覆盖之前的补丁;

3) WebLogic 12.2.1.3在安装补丁之前需要升级optach组件版本到13.9.4.2.0。

 

3. 漏洞修复方案

 3.1 WebLogic 10.3.6.0

  3.1.1 停应用进程

     将当前主机下的所有weblogic 10.3.6.0中间件启动的Java进程都停掉。

  3.1.2 环境备份

       将weblogic安装程序,以及应用域做tar包备份。

  3.1.3 冲突补丁检测

  安装7月份最新补丁,以检测冲突的补丁,以下为案例:

$ ./bsu.sh -install -patchlist=MXLE -prod_dir=/weblogic/Oracle/Middleware/wlserver_10.3 -verbose

检查冲突..

检测到冲突 - 解决冲突情形并重新执行补丁程序安装

下面是冲突情形详细资料:

补丁程序 MXLE 与以下补丁程序互相排斥且不能共存: U5I2,6JJ4

   3.1.4 卸载冲突补丁

$ ./bsu.sh -remove -patchlist=6JJ4 -prod_dir=/weblogic/Oracle/Middleware/wlserver_10.3 -verbose

$ ./bsu.sh -remove -patchlist=U5I2 -prod_dir=/weblogic/Oracle/Middleware/wlserver_10.3 -verbose

  备注:卸载顺序可能会影响到卸载是否成功。

  3.1.5 安装最新补丁

$ ./bsu.sh -install -patchlist=MXLE -prod_dir=/weblogic/Oracle/Middleware/wlserver_10.3 -verbose

  补丁包:p29633432_1036_Generic.zip

  安装完成后,到下面的目录下,删除风险组件:uddiexplorer.war

  /weblogic/Oracle/Middleware/wlserver_10.3/server/lib

  安装补丁后,记得使用weblogic安装用户,将weblogic目录重新授权。

$ chmod -R 755 ./Oracle

  使用下面的命令,可以查看安装补丁后的最新补丁版本信息:

$ source ${WLS_HOME}/wlserver/server/bin/setWLSEnv.sh

$ java weblogic.version

  3.1.6 核心业务测试

  启动weblogic应用进程,注意进程是否可以成功启动,启动过程中是否有异常报错,进程启动后对核心业务做测试。 

 

    3.2 WebLogic 12.1.3.0

        3.2.1 停应用进程

        参考:3.1.1章节

        3.2.2 环境备份

        参考:3.1.2章节

   3.2.3 安装最新补丁

   将补丁包上传到WebLogic中间件所在主机的目录下,解压zip包。

   补丁包:p29633448_121300_Generic.zip

   cd切换目录到解压后的补丁包的文件夹下,然后执行下面的命令:

$ ${WLS_HOME}/OPatch/opatch apply -jdk ${JAVA_HOME}

   安装补丁后,记得使用weblogic安装用户,将weblogic目录重新授权。

$ chmod -R 755 ./Oracle

  使用下面的命令可以查看补丁后的版本:

$ ${WLS_HOME}/OPatch/opatch lspatches

   3.2.4 核心业务测试

  参考:3.1.6章节

 

    3.3 WebLogic 12.2.1.3

        3.3.1 停应用进程

   参考:3.1.1章节

   3.3.2 环境备份

   参考:3.1.2章节

   3.3.3 升级opatch组件

   将下载的opatch最新版本压缩包上传到安装了weblogic 12.2.1.3中间件的主机,解压压缩包(p28186730_139400_Generic.zip),然后进入到目录最里层,执行下面的命令即可升级optach组件。示例:

$ java -jar /weblogic/6880880/opatch_generic.jar -silent oracle_home=/weblogic/Oracle/Middleware/Oracle_Home

   升级完成后,可以用下面的命令查看opatch的版本号

$ /weblogic/Oracle/Middleware/Oracle_Home/OPatch/opatch version

    3.3.4 安装最新补丁

    将最新的补丁包上传到weblogic 12.2.1.3中间件所在主机的目录下,解压压缩包,然后切换到解压后的目录下,执行下面的命令即可:

$ cd /weblogic/29814665

$ /weblogic/Oracle/Middleware/Oracle_Home/OPatch/opatch apply -jdk ${JAVA_HOME}

   安装补丁后,记得使用weblogic安装用户,将weblogic目录重新授权。

$ chmod -R 755 ./Oracle

 

   安装完成以后,执行下面的命令可以查看最新的补丁版本

$ /weblogic/Oracle/Middleware/Oracle_Home/OPatch/opatch lspatches

   3.3.5 核心业务测试

   参考:3.1.6章节

 

ORACLE官方资料参考:https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html

--------------------------------------------------------------------------------------------------------------------------------------------

  原创文章,转载请务必注明原文地址:https://www.cnblogs.com/cnskylee/p/11200191.html

  否则将保留依法追究著作权的权利.

  2019年7月17日 12:21 于 安徽 合肥

--------------------------------------------------------------------------------------------------------------------------------------------



标签:3.1,补丁,漏洞,2019,weblogic,Oracle,WebLogic,CVE

专注分享技术,共同学习,共同进步。

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有