據(jù)官方最新Security Advisories and Notifications報告(BEA06-118.00)顯示:
WeblogicServer的SSL身份信息會被惡意Application盜用。
威脅程度:低
嚴(yán)重程度:中等
WeblogicServer的SSL配置分兩部分,第一部分是Identtiy Keystore,第二部分是Trust Keystore,
BEA06-118.00揭示,當(dāng)WeblogicServer被部署不信任的應(yīng)用的時候,要額外小心,因為部署
在Weblogic Server上的應(yīng)用可以使用你的Identity KeyStore來向其他Client偽冒身份。
后果是,Weblogic Server的身份被盜用。
Weblogic Server Sp4以前的版本都存在這個問題,必須通過SP5打包來解決這個問題。
下面是Solution:
- 將WebLogic Server 和WebLogic Express 8.1升級到 Service Pack 5.
- 安裝下面的補丁:
ftp://ftpna.beasys.com/pub/releases/security/CR243498_810sp5.zip
- 解壓并按照里面的Readme提示進(jìn)行安裝