Pikachu Hacker

首页 » 中文文章 » 记录一次Weblogic 12.1.2.0升级过程

记录一次Weblogic 12.1.2.0升级过程

发布于 10 天前 / 中文文章 / 0 条评论

博客丢在一边很久没管了，昨日有个表哥加我QQ…唤醒了我自己还有博客，前几日某省之旅写下此文。

客户主机：RedHat 6.9

中间件：12.1.2.0.0

需求：因漏扫扫描扫出存在weblogic漏洞，需升级。

本人没做过安全加固，随手写下本文以此记录！

前提条件

1.在安装非强制性补丁之前，检查是否存在bug。

2.检查OPatch版本是否为13.1或更高版本。

3.验证OUI。

OPatch需要访问有效的OUI才能安装补丁。

使用以下命令验证OUI：

opatch lsinventory -jdk $ JAVA_HOME（在Windows％JAVA_HOME％中）

如果命令出错，请联系Oracle支持部门。

4.确认可执行文件出现在系统路径中。

升级补丁过程将使用unzip和opatch可执行文件。

设置ORACLE_HOME环境后，在继续之前确认这两个存在：

“which opatch”

“which unzip”

如果这些可执行文件没有显示在路径中，请在继续之前纠正问题。

5.选择用于存储解压缩补丁的目录。

预安装说明：
停止weblogic进程

cd /路径/weblogic/domain/bin

./stopManagedWebLogic.sh

./stopWebLogic.sh

正文

访问

/路径/weblogic/Oracle/Middleware/Oracle_Home/OPatch/opatch
执行

./opatch lsinventory -jdk $JAVA_HOME
查看补丁号 —（未打补丁）

安装过程

1、开始打补丁&下载补丁包

因内网环境，需要远程另一台主机下载补丁包（也可以选择在线下载）

补丁包放在/tmp/jiagu/目录下。

命令：

scp root@内网ip :/远程路径/jiagu/p22505331_121200_Generic.zip /tmp/jiagu/

输入服务器密码：xxx

2、将补丁包拷贝到/home/weblogic目录下

格式：cp 源文件目标文件（夹）

命令：

cp p22505331_121200_Generic.zip /home/weblogic/

3、进入到weblogic文件夹，给予补丁包weblogic用户权限。

命令：

cd /home/weblogic

chown将指定文件的拥有者改为指定的用户或组

-R 处理指定目录以及其子目录下的所有文件

weblogic 用户名

pxx.zip 文件

命令：

chown -R weblogic p22505331_121200_Generic.zip

4、切换到webloigc用户，新建jiagu文件夹。

命令：

mkdir jiagu

5、将补丁pxx.zip解压到/jiagu目录下

命令：

unzip -d /home/weblogic/jiagu/ /home/weblogic/p22505331_121200_Generic.zip

记录一次Weblogic 12.1.2.0升级过程-Pikachu Hacker

6、进入补丁解压后的目录，即22505331目录

命令：
cd jiagu/22505331/

7、执行安装补丁命令

命令：

/home/weblogic/Oracle/Middleware/Oracle_Home/OPatch/opatch napply -jdk $JAVA_HOME

8、运行OPatch以验证修补程序

命令1：

/home/weblogic/Oracle/Middleware/Oracle_Home/OPatch/opatch lsinventory -jdk $JAVA_HOME

命令2：

/home/weblogic/Oracle/Middleware/Oracle_Home/OPatch/opatch lspatches

至此安装结束！

那么有小伙伴就问了，如果存在其它补丁和有没有其它方式防止漏洞呢？

休息两分钟，跟随我进行延伸阅读时刻。。。

延伸阅读一：
包含其它补丁
下图所示patch为27057030，将这个补丁卸载，然后打新高版本补丁。

执行命令

./opatch rollback -id 27057030 -jAVA $JDK_HOME
将其27057030补丁卸载

选择y

出现Opatch succeeded 说明卸载成功，然后继续如上步骤安装补丁。

延伸阅读二：
限制对T3协议的访问
针对官网已停止补丁更新的weblogic版本，加固通过限制t3和t3s协议的访问限制来进行加固。

加固步骤：
1.登录管理控制台
2.点击域——>安全——>筛选器，在连接筛选器框填入
weblogic.security.net.ConnectionFilterImpl

在连接筛选器规则框填入

127.0.0.1 allow t3,

集群节点IP1 allow t3,

集群节点IP2 allow t3,

集群节点IP3 allow t3,

集群节点IP4 allow t3,

0.0.0.0/0 deny t3

127.0.0.1 allow t3s,

集群节点IP1 allow t3s,

集群节点IP2 allow t3s,

集群节点IP3 allow t3s,

集群节点IP4 allow t3s,

0.0.0.0/0 deny t3s

3.保存并激活更新使配置生效。

转载原创文章请注明，转载自： Pikachu Hacker » 记录一次Weblogic 12.1.2.0升级过程

Not Comment Found

