一、安全漏洞说明
Oracle官方于2020年4月14日发布了针对Oracle WebLogic中间件安全漏洞的第二季度累积修复补丁集。其中,针对11g版本weblogic中间件的 Patch ID 为 Q3ZB,针对12c版本则有多个补丁包需要更打,且在更打前还需要更新升级opatch组件到最新版13.9.4.2.2。
本次发布的漏洞清单里面有三个涉及到WebLogic内核组件的T3协议反序列化安全漏洞,分别是CVE-2020-2801 、 CVE-2020-2883、 CVE-2020-2884,风险等级为高,
受影响的主流WebLogic中间件版本包括:Oracle WebLogic 11g 和 Oracle WebLogic 12c,具体版本号如下:
- Oracle WebLogic 10.3.6.0
- Oracle WebLogic 12.1.3.0.0
- Oracle WebLogic 12.2.1.3.0
- Oracle WebLogic 12.2.1.4.0
其中,12.2.1.4.0版本为官方在2019年发布的Oracle WebLogic 12c的最新版本。
二、WebLogic 11g 补丁修复过程
1. 停进程
停服务器上所有启动的 weblogic 应用进程,
2. 备份
对weblogic安装目录,以及应用域进行全量打包备份(日志目录可以可排除)。
3. 修改bsu脚本
|
Edit the bsu.sh script and change memory options as follows: MEM_ARGS=”-Xms4096m -Xmx4096m” |
4. 上传补丁包
在{MW_HOME}/utils/bsu/目录下创建cache_dir目录,将补丁文件上传到该文件夹下,并unzip命令解压。
5. 补丁安装
|
cd {MW_HOME}/utils/bsu/ ./bsu.sh -install -patch_download_dir={MW_HOME}/utils/bsu/cache_dir -patchlist=Q3ZB -prod_dir={MW_HOME}/wlserver_10.3 |
6. 重启中间件进程,进行核心业务或者全业务测试。
备注:查阅Oracle官方的WebLogic中间件补丁,发现WebLogic 12c的两个最新版本(12.2.1.3.0 、12.2.1.4.0)在升级补丁的之前,需要更新opatch组件到13.9.4.2.2版本,并且各有多个补丁需要更打。
三、附:漏洞信息列表

Oracle官方关于漏洞的说明:https://www.oracle.com/security-alerts/cpuapr2020.html
四、Bugs Fixed By This Patch
WLS Patch Set Update 10.3.6.0.200414
————————————————————————
18509293 CANNOT LOGIN TO CONSOLE, BUT CAN LOGIN TO EM WITH THE SAME USER
20475586 DEADLOCK BETWEEN TAGINFOEX AND TAGFILESYNCHRONIZER
30657848 CVE-2020-2829
30814590 EMBEDDED LDAP CORRUPTED WHEN MGD SERVER IS KILLED
30885217 CVE-2020-2883
30068341 CVE-2020-2766
28482069 CVE-2019-17571
30558254 CVE-2020-2798
30624882 CVE-2020-2811
30563848 CVE-2020-2801
30652002 CVE-2020-2828
30801769 CVE-2020-2869
30885237 CVE-2020-2884
作者:cnskylee@126.com
2020/4/17 于 安徽 合肥
备注:转载请务必说明出处。