据官方最新Security Advisories and Notifications报告(BEA06-118.00)显示:
WeblogicServer的SSL身份信息会被恶意Application盗用。
威胁程度:低
严重程度:中等
WeblogicServer的SSL配置分两部分,第一部分是Identtiy Keystore,第二部分是Trust Keystore,
BEA06-118.00揭示,当WeblogicServer被部署不信任的应用的时候,要额外小心,因为部署
在Weblogic Server上的应用可以使用你的Identity KeyStore来向其他Client伪冒身份。
后果是,Weblogic Server的身份被盗用。
Weblogic Server Sp4以前的版本都存在这个问题,必须通过SP5打包来解决这个问题。
下面是Solution:
- 将WebLogic Server 和WebLogic Express 8.1升级到 Service Pack 5.
- 安装下面的补丁:
ftp://ftpna.beasys.com/pub/releases/security/CR243498_810sp5.zip
- 解压并按照里面的Readme提示进行安装
近日,在Matrix Security版上(
http://www.matrix.org.cn/thread.shtml?topicId=39543&forumId=55)提出一个问题,即他的程序不能正确运行,抛出异常Exception in thread "main" java.security.InvalidKeyException: Illegal key size。
我运行一下它的程序,Work Fine。
我发现很多人都遇到这样的问题,而我自己的习惯是,每当我安装JDK的时候,我总是非常讨厌它已有的Policy File,我会立即到SUN的网站下载最"强"的PolicyFile(
http://java.sun.com/j2se/1.5.0/download.jsp#docs),安装它可以解决让你算法中的Key长度增加很多(更加安全),从而解决上面的Illegal key size的问题。
你可能问,为何SUN不把它集成到JDK中去而单独弄一个链接出来给人下载?那是因为每个国家,尤其是美国,对涉及密码的软件产品控制非常严格,在美国国内,很多密码算法长度都作了限制,而且某些算法在某些国家没有申请专利,可以"滥"用,而在某些国家却做了明确限制,不准使用,如此前提下,Sun必须按照惯例行事:)