Oracle于美国时间4月19日发布了旗下产品2022年第二季度的安全公告,其中涉及Oracle WebLogic中间件的漏洞共 7 个(高危漏洞 1 个,基础分值 9.8 分),Oracle Coherence中间件的安全漏洞 2 个(高危漏洞 1 个,基础分值 9.8 分),Oracle Tuxedo中间件的安全漏洞 1 个(高危漏洞,基础分值 9.8 分)。另外,漏洞中涉及内核(core)组件的共 2 个。
此外,Oracle JDK两个主流版本的小版本号已经分别升级到了341(Oracle JDK 7 Update 341 b31) 和331(Oracle JDK 8 Update 331 b31)。
从本次最新发布的安全公告来看,继今年一月份开始不再为Oracle WebLogic 10.3.6.0提供最新的季度累积补丁集之后,从二季度开始官方也结束了对Oracle WebLogic 12.1.3.0这个12c的早期版本的补丁技术支持。目前官方扔提供补丁技术支持的WebLogic中间件大版本还有2个,分别为12c(12.2.1.3.0、12.2.1.4.0)、14c(14.1.1.0.0)。
附:2022年4月19日ORACLE发布的中间件漏洞公告
CVE-ID | 产品 | 组件 | 协议 | 远程利用 无需授权? | 基础分值 | 攻击媒介 | 攻击复杂度 | 用户交互 | 保密性 | 可用性 | 受影响版本 (Oracle On-support) |
CVE-2022-21420 | Oracle Coherence | Core | T3 | Yes | 9.8 | 网络 | 低 | 无 | 高 | 高 | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
CVE-2022-23305 | Oracle Tuxedo | Third Party Patch (Apache Log4j) | HTTP | Yes | 9.8 | 网络 | 低 | 无 | 高 | 高 | 12.2.2.0.0 |
CVE-2022-23305 | Oracle WebLogic Server | Centralized Third Party Jars (Apache Log4j) | HTTP | Yes | 9.8 | 网络 | 低 | 无 | 高 | 高 | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
CVE-2022-21441 | Oracle WebLogic Server | Core | T3/IIOP | Yes | 7.5 | 网络 | 低 | 无 | 无 | 高 | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
CVE-2021-43797 | Oracle Coherence | Configuration and Parsing (Netty) | HTTP | Yes | 6.5 | 网络 | 低 | 需要 | 无 | 无 | 12.2.1.4.0 14.1.1.0.0 |
CVE-2022-23437 | Oracle WebLogic Server | Third Party Tools (Apache Xerces-J) | HTTP | Yes | 6.5 | 网络 | 低 | 需要 | 无 | 高 | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
CVE-2022-21453 | Oracle WebLogic Server | Console | HTTP | Yes | 6.1 | 网络 | 低 | 需要 | 低 | 无 | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
CVE-2021-41184 | Oracle WebLogic Server | Console, Samples (jQueryUI) | HTTP | Yes | 6.1 | 网络 | 低 | 需要 | 低 | 无 | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
CVE-2021-28170 | Oracle WebLogic Server | Centralized Third Party Jars (JBoss Enterprise Application Platform) | HTTP | Yes | 5.3 | 网络 | 低 | 无 | 无 | 无 | 14.1.1.0.0 |
CVE-2020-8908 | Oracle WebLogic Server | Third Party Tools (Guava) | 无 | No | 3.3 | 本地 | 低 | 无 | 低 | 无 | 14.1.1.0.0 |
附:12c最新补丁集
weblogic_12c_12.2.1.4.0_patches_202204-虚拟化文档类资源-CSDN下载weblogic12c(12.2.1.4.0)2022年4月19日发布的最新累积补丁集12.2更多下载资源、学习资料请访问CSDN下载频道.https://download.csdn.net/download/cnskylee/85194396weblogic_12c_12.2.1.3.0_patches_202204-虚拟化文档类资源-CSDN下载weblogic12c(12.2.1.3.0)2022年4月19日发布的最新累积补丁集。12.更多下载资源、学习资料请访问CSDN下载频道.https://download.csdn.net/download/cnskylee/85194382
参考:
https://www.oracle.com/security-alerts/cpuapr2022.html
https://support.oracle.com/epmos/faces/DocumentDisplay?id=1439822.1
https://support.oracle.com/epmos/faces/DocumentDisplay?id=1470197.1