【WebLogic】Oracle发布WebLogic中间件2022年第1季度安全公告

        Oracle于美国时间2022年1月18日发布了Oracle多款产品的季度累积补丁集,其中涉及Oracle WebLogic中间件的漏洞共 25 个,其中高危漏洞个,基础分值 9.8 分。另外,漏洞中涉及内核(core)组件的共 4 个。

        随着漏洞公告的正式发布,Oracle官方已经在官网挂出on-suppport的四个版本WebLogic的最新补丁。其中,适用于Oracle WebLogic 14.1.1.0.0、12.2.1.4.0、12.2.1.3.0三个版本的opatch工具已经升级到了13.9.4.2.8版本。

        此外,Oracle JDK两个主流版本的小版本号已经分别升级到了1.7.0_331 和 1.8.0_321。  

        从目前Oracle官方2022年1月最新发布的安全公告来看,官方已经不再为Oracle WebLogic 10.3.6.0提供最新的累积补丁集,这也宣告了官方对该版本长达10年(2012年7月-2021年10月)的补丁支持正式结束。官方在CPU下载页面公示的2021年10月提供最后补丁的产品,其中就有10.3.6.0,不过2022年1月,Oracle还是为12.1.3.0提供了一个最新的累积补丁集,2022年1月后,12.1.3.0也将不会再有季度补丁了。公示信息如下图所示:

【WebLogic】Oracle发布WebLogic中间件2022年第1季度安全公告_第1张图片

        针对目前业界用的比较多10.3.6.0版本,如后续在安全扫描或者人工渗透中,再发现严重的安全漏洞,且本地补丁已经更新到了2021年10月最新,除了联系Oracle销售,索取MDS(MARKET DRIVEN SUPPORT)补丁之外,估计就只能升级Oracle WebLogic的12c版本(即12.2.1.4.0,对应JDK兼容版本为1.7、1.8,JDK1.6的不支持12c),或者14c版本(即14.1.1.0.0,对应JDK兼容版本为1.8或者11.0)。

CVE-ID 受影响产品 产品组件 协议 远程利用
无需授权?
基础分值 攻击媒介 攻击复杂度 用户交互 保密性 可用性 受影响版本
(Oracle On-support)
CVE-2022-21306 Oracle WebLogic Server Core T3 Yes 9.8 Network Low None High High 12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
CVE-2021-4104 Oracle WebLogic Server Centralized Thirdparty Jars (Apache Log4j) HTTP No 7.5 Network High None High High 12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
CVE-2022-21292 Oracle WebLogic Server Samples HTTP Yes 7.5 Network Low None High None 12.2.1.4.0
14.1.1.0.0
CVE-2020-5258 Oracle WebLogic Server Samples (dojo) HTTP Yes 7.5 Network Low None None None 12.2.1.4.0
14.1.1.0.0
CVE-2022-21371 Oracle WebLogic Server Web Container HTTP Yes 7.5 Network Low None High None 12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
CVE-2021-27568 Oracle WebLogic Server Web Services (json-smart) HTTP Yes 7.5 Network Low None None High 12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
CVE-2021-44832 Oracle WebLogic Server Centralized Thirdparty Jars (Apache Log4j) HTTP No 6.6 Network High None High High 12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
CVE-2022-21252 Oracle WebLogic Server Samples HTTP Yes 6.5 Network Low None Low None 12.2.1.4.0
14.1.1.0.0
CVE-2022-21347 Oracle WebLogic Server Core T3 Yes 6.5 Network Low None None Low 12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
CVE-2022-21350 Oracle WebLogic Server Core T3 Yes 6.5 Network Low None None Low 12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
CVE-2022-21353 Oracle WebLogic Server Core T3 Yes 6.5 Network Low None None Low 12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
CVE-2020-2934 Oracle WebLogic Server Datasource (MySQL Connector) SQL Yes 6.3 Network Low Required Low Low 12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
CVE-2022-21361 Oracle WebLogic Server Sample apps HTTP Yes 6.1 Network Low Required Low None 12.2.1.4.0
14.1.1.0.0
CVE-2020-11023 Oracle WebLogic Server Sample apps (jQuery) HTTP Yes 6.1 Network Low Required Low None 12.2.1.4.0
14.1.1.0.0
CVE-2022-21257 Oracle WebLogic Server Samples HTTP Yes 6.1 Network Low Required Low None 12.2.1.4.0
14.1.1.0.0
CVE-2022-21258 Oracle WebLogic Server Samples HTTP Yes 6.1 Network Low Required Low None 14.1.1.0.0
CVE-2022-21259 Oracle WebLogic Server Samples HTTP Yes 6.1 Network Low Required Low None 12.2.1.4.0
14.1.1.0.0
CVE-2022-21260 Oracle WebLogic Server Samples HTTP Yes 6.1 Network Low Required Low None 12.2.1.4.0
14.1.1.0.0
CVE-2022-21261 Oracle WebLogic Server Samples HTTP Yes 6.1 Network Low Required Low None 12.2.1.4.0
14.1.1.0.0
CVE-2022-21262 Oracle WebLogic Server Samples HTTP Yes 6.1 Network Low Required Low None 12.2.1.4.0
14.1.1.0.0
CVE-2022-21386 Oracle WebLogic Server Web Container HTTP Yes 6.1 Network Low Required Low None 12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
CVE-2019-10219 Oracle WebLogic Server Web Services (JBoss Enterprise Application Platform) HTTP Yes 6.1 Network Low Required Low None 12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
CVE-2018-1324 Oracle WebLogic Server WLST (Apache Commons Compress) None No 5.5 Local Low Required None High 14.1.1.0.0
CVE-2020-13956 Oracle WebLogic Server Samples (Apache HttpClient) HTTP Yes 5.3 Network Low None None None 12.2.1.4.0
14.1.1.0.0
CVE-2021-29425 Oracle WebLogic Server Third Party Tools (Apache Commons IO) HTTP Yes 4.8 Network High None Low None 12.1.3.0.0
12.2.1.3.0
12.2.1.4.0
14.1.1.0.0

你可能感兴趣的:(WebLogic,中间件,安全,weblogic)