【WebLogic】Oracle发布2022年第四季度中间件安全公告

        Oracle于美国时间10月18日发布了旗下产品2022年第四季度的安全公告,其中涉及Oracle WebLogic中间件的漏洞共 8 个,除一个8.1分的中危漏洞,其余均为低危漏洞。Oracle Coherence中间件(包括Coherence独立产品,以及WebLogic集成的coherence组件)的安全漏洞 1 个(低危漏洞)。本季度发布的WebLogic中间件的安全漏洞中并未涉及内核(Core)组件的漏洞。

        目前官方扔提供补丁技术支持的WebLogic中间件大版本还有2个,分别为12c(12.2.1.3.0、12.2.1.4.0)、14c(14.1.1.0.0),该三个版本的补丁技术支持日期分别到2022年10月、2025年7月,以及2028年1月。

        此外,Oracle JDK1.8 的小版本号已经分别升级到了351(Oracle JDK 8 Update 351),JDK1.7版本的官方版本更新已经结束,版本号将停留在1.7.0_351。OPatch版本没有更新,与第三季度一致,版本号为:13.9.4.2.10

附:2022年10月19日发布的中间件漏洞公告

CVE-ID 产品 组件 协议 远程利用
无需授权?
基础
分值
攻击
媒介
攻击
复杂度
用户
交互
受影响版本
(On-support)
CVE-2020-28052 Oracle WebLogic Server Centralized Thirdparty Jars (Bouncy Castle Java Library) TLS Yes 8.1 Network High None 12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
CVE-2022-23437 Oracle WebLogic Server Centralized Thirdparty Jars (Apache Xerces-J) HTTP Yes 6.5 Network Low Required 12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
CVE-2022-22971 Oracle WebLogic Server Centralized Thirdparty Jars (Spring Framework) HTTP No 6.5 Network Low None 12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
CVE-2022-24823 Oracle Coherence Configuration and Parsing (Netty) None No 5.5 Local Low None 12.2.1.4.0
14.1.1.0.0
CVE-2020-17521 Oracle WebLogic Server Centralized Thirdparty Jars (Apache Groovy) None No 5.5 Local Low None 12.2.1.3.0
12.2.1.4.0
CVE-2022-22968 Oracle WebLogic Server Samples (Spring Framework) HTTP Yes 5.3 Network Low None 12.2.1.4.0
14.1.1.0.0
CVE-2022-21616 Oracle WebLogic Server Web Container None No 5.2 Local High None 12.2.1.3.0
12.2.1.4.0
14.1.1.0.0
CVE-2021-29425 Oracle WebLogic Server Centralized Thirdparty Jars (Commons IO) HTTP Yes 4.8 Network High None 12.2.1.3.0
12.2.1.4.0
14.1.1.0.0

WebLogic与JDK版本间的兼容关系

 参考

https:/ /www.oracle.com/security-alerts/cpuoct2022.html#AppendixFMW

https://support.oracle.com/epmos/faces/DocumentDisplay?id=2806740.2

https://support.oracle.com/epmos/faces/DocumentDisplay?id=1439822.1

你可能感兴趣的:(WebLogic,oracle,中间件,安全,WebLogic,Patches)