关于安全漏洞 CVE-2017-5638 的 Weblogic Server 防护建议
关于Weblogic Server如何防护防止近期爆出的Struts 2远程代码执行安全漏洞,为您提供以下内容参考。
Oracle WebLogic Server 产品本身没有使用Struts 2, 因此不受此漏洞影响。
只有Oracle WebLogic Server -sample code使用了Struts2会受影响。可以根据文档Upgrade Apache Struts 2 to Version 2.3.32 for WebLogic Code Example (Doc ID 2255054.1),
应用最新的PSU/CPU补丁后,升级Apache Struts 2到2.3.32。
升级方法如下:
- Download Apache Struts 2.3.32 from https://struts.apache.org/download.cgi.
- Go to the directory of example spring/sconfig and replace all four Struts 2 jars.
- In 12.1.2 and 12.1.3, it’s located at $MW_HOME/user_projects/applications/wl_server/examples/src/examples/spring/sconfig. Note that this is the default path.
- For other releases, it’s located at $MW_HOME/wlserver/samples/server/examples/src/examples/spring/sconfig.
- Rebuild the example by ant commands following the instruction.html in the directory.
Oracle其它产品的 Struts 2 CVE-2017- 5638 相关的缺陷在Oracle产品的安全更新补丁集都修复了。
请参考文档CPU summary以及Patch Set Update and Critical Patch Update April 2017 Availability Document (Doc ID 2228898.1)