1)下載與當前大版本相同的commons-collections包(原來是3.2.x就替換為3.2.2,原來是4.x就替換為4.4.1)
下載鏈接:http://commons.apache.org/proper/commons-collections/download_collections.cgi
2)解壓出其中的commons-collections-x.x.x.jar
3)找到domain對應目錄下的commons-collections.*.jar(*表示空或版本號)對其進行備份
4)上傳新下載的commons-collections-x.x.x.jar,替換找到的commons-collections.*.jar(名稱改成和ommons-collections.*.jar原來的一樣)
5)使用上傳的commons-collections-x.x.x.jar,替換$WEBLOGIC_HOME/modules文件夾下的com.bea.core.apache.commons.collections_x.x.x.jar(名稱和原來一樣)
6)重啟集群生效(控制台和受控server)
說明:
1.commons-collections-4.4.1.jar對InvokerTransformer.class中的漏洞進行了修復,commons-collections-3.2.2.jar只是將InvokerTransformer.class標志為不安全函數默認不啟用。
2.weblogic可能是先在自己的modules文件夾下找有沒有需要的java包,然后再到應用文件夾中找是否有相應jar包,所以4)和5)都需要做(反之可能只做5)就行,沒試過)。