关于安全漏洞 CVE-2017-5638 的 Weblogic Server 防护建议

关于Weblogic Server如何防护防止近期爆出的Struts 2远程代码执行安全漏洞，为您提供以下内容参考。

Oracle WebLogic Server 产品本身没有使用Struts 2, 因此不受此漏洞影响。

只有Oracle WebLogic Server -sample code使用了Struts2会受影响。可以根据文档Upgrade Apache Struts 2 to Version 2.3.32 for WebLogic Code Example (Doc ID 2255054.1),

应用最新的PSU/CPU补丁后，升级Apache Struts 2到2.3.32。

升级方法如下：

1. Download Apache Struts 2.3.32 from https://struts.apache.org/download.cgi.
2. Go to the directory of example spring/sconfig and replace all four Struts 2 jars.
   1. In 12.1.2 and 12.1.3, it’s located at $MW_HOME/user_projects/applications/wl_server/examples/src/examples/spring/sconfig. Note that this is the default path.
   2. For other releases, it’s located at $MW_HOME/wlserver/samples/server/examples/src/examples/spring/sconfig.
   3. Rebuild the example by ant commands following the instruction.html in the directory.

Oracle其它产品的  Struts 2 CVE-2017- 5638 相关的缺陷在Oracle产品的安全更新补丁集都修复了。

请参考文档CPU summary以及Patch Set Update and Critical Patch Update April 2017 Availability Document (Doc ID 2228898.1)