Oracle WebLogic中间件最新漏洞修复补丁以及修复方案说明(2019.7)

标签：col   bug   内核   进入   lda   rev   执行   详细资料   bbr   

---------目录--------

1. 补丁集修复漏洞说明... 3

　　1.1 Oracle WebLogic 10.3.6.0.190716. 3

　　1.2 Oracle WebLogic 12.1.3.0.190716. 3

　　1.3 Oracle WebLogic 12.2.1.3.190522. 4

2. WLS 内核组件漏洞说明... 5

3. 漏洞修复方案... 5

　　3.1 WebLogic 10.3.6.0. 5

　　　　3.1.1 停应用进程... 5

　　　　3.1.2 环境备份... 6

　　　　3.1.3 冲突补丁检测... 6

　　　　3.1.4 卸载冲突补丁... 6

　　　　3.1.5 安装最新补丁... 6

　　　　3.1.6 核心业务测试... 7

　　3.2 WebLogic 12.1.3.0. 7

　　　　3.2.1 停应用进程... 7

　　　　3.2.2 环境备份... 7

　　　　3.2.3 安装最新补丁... 7

　　　　3.2.4 核心业务测试... 8

　　3.3 WebLogic 12.2.1.3. 8

　　　　3.3.1 停应用进程... 8

　　　　3.3.2 环境备份... 8

　　　　3.3.3 升级opatch组件... 8

　　　　3.3.4 安装最新补丁... 8

　　　　3.3.5 核心业务测试... 9

　　Oracle官方于2019年7月16日，发布了包括Oracle WebLogic 10.3.6.0、Oracle WebLogic 12.1.3.0、Oracle WebLogic 12.2.1.3这三个版本中间件的2019年第三季度的漏洞修复补丁。

1. 补丁集修复漏洞说明

1.1 Oracle WebLogic 10.3.6.0.190716

该补丁合集，修复了下面的漏洞：

-------------------------------------------------------------------------------29585099   THE BACKPORT OF 27057023 CONTAINS AN ERROR

23071867   AGL DS XA AFFINITY NOT HONORED IN SOME TX LOCAL RESOURCE ASSIGNMENT SCENARIOS

29448643   JAVA.IO.INVALIDCLASSEXCEPTION: FILTER STATUS: REJECTED

29671623   CVE-2019-2725

26403575   CVE-2016-7103

29667975   CVE-2019-2824

29726561   CVE-2019-2729

29701537   CVE-2019-2827

-------------------------------------------------------------------------------

1.2 Oracle WebLogic 12.1.3.0.190716

补丁合集，修复了下面的漏洞：

-------------------------------------------------------------------------------

 29667975: CVE-2019-2824

 29671623: CVE-2019-2725

 26403575: CVE-2016-7103

 29701537: CVE-2019-2827

 29870012: WLDATASOURCE.GETCONNECTIONTOINSTANCE(STRING INSTANCE) CAN FAIL IF NO CONNECTIONS TO INSTANCE HAVE BEEN PROCESSED

 29448643: JAVA.IO.INVALIDCLASSEXCEPTION: FILTER STATUS: REJECTED

 29312272: WSDL ERROR MUST ATTRIBUTE ‘NAME‘ NOTFOUND IN ELEMENT  ‘BINDING

 23071867: AGL DS XA AFFINITY NOT HONORED IN SOME TX LOCAL RESOURCE ASSIGNMENT SCENARIOS

 29726561: CVE-2019-2729

-------------------------------------------------------------------------------

1.3 Oracle WebLogic 12.2.1.3.190522

补丁合集，修复了下面的漏洞：

-------------------------------------------------------------------------------

 25369207: JAVA.LANG.OUTOFMEMORY ERROR HAPPENS WHEN INITIALIZING AN APPLICATION

 29338121: CVE-2019-2799

 29448643: JAVA.IO.INVALIDCLASSEXCEPTION: FILTER STATUS: REJECTED

 29312272: WSDL ERROR MUST ATTRIBUTE ‘NAME‘ NOTFOUND IN ELEMENT  ‘BINDING

 26987594: ALLOW SUPRESSING CROSS COMPONENT WIRING PROCESSING DURING PROVISIONING

 27010571: <BEA-000503> <INCOMING MESSAGE HEADER OR ABBREVIATION PROCESSING FAILED

 26075541: .APPMERGEGEN_$DIGIT DIR REMAIN EVERY TIME BY DEPLOYING A EAR ON WLS 12.2.1

 27823500: REGRESSION BUG WHICH INTRODUCED BY THE BUG FIXING OF 27678101

 27248932: TRACKING BUG FOR 26941603 FOR WLS

 25294832: WLS 12.2.1.2 DEPLOYMENT ERRORSMETHOD _JSPSERVICE EXCEEDS 65535 BYTES LIMIT

 26131085: IMPROVE CORRUPT STORE RECOVERY

 27659077: JSPS ARE GETTING RECOMPILED ON EVERY REQUEST

 26403575: CVE-2016-7103

 29667975: CVE-2019-2824

 28278427: VERSION ADDED TWICE WHEN SAVING A SECURITY POLICY

 29726561: CVE-2019-2729

 29701537: CVE-2019-2827

 29411629: CVE-2019-2856

 29789769: FIXED AN ISSUE WITH XMLDECODER

-------------------------------------------------------------------------------

2. WLS 内核组件漏洞说明

    CVE-2019-2824、CVE-2019-2827是涉及WebLogic内核组件的安全漏洞，影响了包括10.3.6.0、12.1.3.0、12.2.1.3这三个主流版本的weblogic中间件。因此建议生产环境Oracle WebLogic 10.3.6.0、12.1.3.0分别安装20190716这个补丁合集，Oracle WebLogic 12.2.1.3安装20190522这个补丁合集。

说明：

1） WebLogic 11g在补丁更新前需要删除（参数：-remove）之前安装的补丁；

2） WebLogic 12c（12.1.3.0、12.2.1.3）可以直接安装覆盖之前的补丁；

3） WebLogic 12.2.1.3在安装补丁之前需要升级optach组件版本到13.9.4.2.0。

3. 漏洞修复方案

　3.1 WebLogic 10.3.6.0

　　3.1.1 停应用进程

    　将当前主机下的所有weblogic 10.3.6.0中间件启动的Java进程都停掉。

　　3.1.2 环境备份

       将weblogic安装程序，以及应用域做tar包备份。

　　3.1.3 冲突补丁检测

　　安装7月份最新补丁，以检测冲突的补丁，以下为案例：

　　3.1.4 卸载冲突补丁

　　备注：卸载顺序可能会影响到卸载是否成功。

　　3.1.5 安装最新补丁

　　补丁包：p29633432_1036_Generic.zip

　　安装完成后，到下面的目录下，删除风险组件：uddiexplorer.war

　　/weblogic/Oracle/Middleware/wlserver_10.3/server/lib

　　安装补丁后，记得使用weblogic安装用户，将weblogic目录重新授权。

　　使用下面的命令，可以查看安装补丁后的最新补丁版本信息：

　　3.1.6 核心业务测试

　　启动weblogic应用进程，注意进程是否可以成功启动，启动过程中是否有异常报错，进程启动后对核心业务做测试。

3.2 WebLogic 12.1.3.0

　　3.2.1 停应用进程

　　参考：3.1.1章节

　　3.2.2 环境备份

　　参考：3.1.2章节

　　3.2.3 安装最新补丁

　　将补丁包上传到WebLogic中间件所在主机的目录下，解压zip包。

　　补丁包：p29633448_121300_Generic.zip

　　cd切换目录到解压后的补丁包的文件夹下，然后执行下面的命令：

　　安装补丁后，记得使用weblogic安装用户，将weblogic目录重新授权。

　　使用下面的命令可以查看补丁后的版本：

　　3.2.4 核心业务测试

　　参考：3.1.6章节

　　3.3 WebLogic 12.2.1.3

　　3.3.1 停应用进程

　　参考：3.1.1章节

　　3.3.2 环境备份

　　参考：3.1.2章节

　　3.3.3 升级opatch组件

　　将下载的opatch最新版本压缩包上传到安装了weblogic 12.2.1.3中间件的主机，解压压缩包（p28186730_139400_Generic.zip），然后进入到目录最里层，执行下面的命令即可升级optach组件。示例：

　　升级完成后，可以用下面的命令查看opatch的版本号

　　3.3.4 安装最新补丁

　　将最新的补丁包上传到weblogic 12.2.1.3中间件所在主机的目录下，解压压缩包，然后切换到解压后的目录下，执行下面的命令即可：

　　安装补丁后，记得使用weblogic安装用户，将weblogic目录重新授权。

　　安装完成以后，执行下面的命令可以查看最新的补丁版本

　　3.3.5 核心业务测试

　　参考：3.1.6章节

参考：

https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html

-----------------------------------------------------------------------------------------------------------------------------------------------

　　原创文章，转载请务必注明原文地址：https://www.cnblogs.com/cnskylee/p/11200191.html

　　否则将保留依法追究著作权的权利.

　　2019年7月17日 12:21 于 安徽 合肥

-----------------------------------------------------------------------------------------------------------------------------------------------

Oracle WebLogic中间件最新漏洞修复补丁以及修复方案说明(2019.7)

标签：col   bug   内核   进入   lda   rev   执行   详细资料   bbr   

原文地址：https://www.cnblogs.com/cnskylee/p/11200191.html