今天收到乌云上面的漏洞邮件,JAVA反序列化漏洞,可以进行任意命令执行.网上查询发现传得沸沸扬扬,颇有恐慌之势。
去weblogic官网发现没有修复补丁.
http://www.oracle.com/technetwork/topics/security/alert-cve-2015-4852-2763333.html
所以去网上找了半天发现有大神给出临时处理方案.
删掉项目中commons-collections-*.jar中“org/apache/commons/collections/functors/InvokerTransformer.class” 文件(删除前备份);
同时删除weblogic安装目录中“/oracle/Middleware/modules/com.bea.core.apache.commons.collections_*.jar”中“org/apache/commons/collections/functors/InvokerTransformer.class” 文件(删除前备份);
测试,OK!而后台会抛出异常信息:
java.lang.AssertionError: Exception creating response stream.
再让程序员查找整个程序是否有用到InvokerTransformer,确认没有用到后上线。不知道是否有其他影响,特此记录。