Oracle于美国时间7月19日发布了旗下产品2022年第三季度的安全公告,其中涉及Oracle WebLogic中间件的漏洞共 17 个(高危漏洞 3 个,基础分值 9.8 分),Oracle Coherence中间件(包括Coherence独立产品,以及WebLogic集成的coherence组件)的安全漏洞 2 个(中危漏洞)。另外,涉及内核(Core)组件的漏洞共 3 个,均为中危漏洞。
目前官方扔提供补丁技术支持的WebLogic中间件大版本还有2个,分别为12c(12.2.1.3.0、12.2.1.4.0)、14c(14.1.1.0.0),该三个版本的补丁技术支持日期分别到2022年10月、2025年7月,以及2028年1月。
此外,Oracle JDK两个主流版本的小版本号已经分别升级到了351(Oracle JDK 7 Update 351) 和341(Oracle JDK 8 Update 341 b31)。
附:2022年7月19日发布的中间件漏洞公告
CVE-ID | 产品 | 组件 | 协议 | 远程利用 无需授权? | 基础 分值 | 攻击媒介 | 攻击 复杂度 | 用户 交互 | 受影响版本 (On-support) |
CVE-2022-23457 | Oracle WebLogic Server | Centralized Third Party Jars (OWASP Enterprise Security API) | HTTP | Yes | 9.8 | Network | Low | None | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
CVE-2021-23450 | Oracle WebLogic Server | Sample apps (Dojo) | HTTP | Yes | 9.8 | Network | Low | None | 12.2.1.4.0 14.1.1.0.0 |
CVE-2022-22965 | Oracle WebLogic Server | Third Party Tools, Samples (Spring Framework) | HTTP | Yes | 9.8 | Network | Low | None | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
CVE-2021-26291 | Oracle WebLogic Server | Centralized Third Party Jars (Apache Maven) | HTTP | Yes | 9.1 | Network | Low | None | 12.2.1.3.0 12.2.1.4.0 |
CVE-2021-2351 | Oracle WebLogic Server | Installer (OCCI) | Oracle Net | Yes | 8.3 | Network | High | Required | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
CVE-2020-11987 | Oracle WebLogic Server | Centralized Third Party Jars (Apache Batik) | HTTP | Yes | 8.2 | Network | Low | None | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
CVE-2020-36518 | Oracle Coherence | Centralized Thirdparty Jars (jackson-databind) | HTTP | Yes | 7.5 | Network | Low | None | 14.1.1.0.0 |
CVE-2022-21570 | Oracle Coherence | Core | T3, IIOP | Yes | 7.5 | Network | Low | None | 3.7.1.0 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
CVE-2020-36518 | Oracle WebLogic Server | Centralized Third Party Jars (jackson-databind) | HTTP | Yes | 7.5 | Network | Low | None | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
CVE-2022-24839 | Oracle WebLogic Server | Centralized Third Party Jars (NekoHTML) | HTTP | Yes | 7.5 | Network | Low | None | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
CVE-2020-28491 | Oracle WebLogic Server | Centralized Third Party Jars (jackson-dataformats-binary) | HTTP | Yes | 7.5 | Network | Low | None | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
CVE-2021-40690 | Oracle WebLogic Server | Centralized Thirdparty Jars (Apache Santuario XML Security For Java) | HTTP | Yes | 7.5 | Network | Low | None | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
CVE-2022-21548 | Oracle WebLogic Server | Core | T3, IIOP | Yes | 6.5 | Network | Low | None | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
CVE-2022-29577 | Oracle WebLogic Server | Centralized Third Party Jars (AntiSamy) | HTTP | Yes | 6.1 | Network | Low | Required | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
CVE-2022-21557 | Oracle WebLogic Server | Web Container | None | No | 5.7 | Local | High | None | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
CVE-2022-21560 | Oracle WebLogic Server | Core | T3, IIOP | Yes | 5.3 | Network | Low | None | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
CVE-2022-21564 | Oracle WebLogic Server | Web Services | T3, IIOP | Yes | 5.3 | Network | Low | None | 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0 |
参考:
https://www.oracle.com/security-alerts/cpujul2022.html
https://support.oracle.com/epmos/faces/DocumentDisplay?id=2817011.1
https ://support.oracle.com/epmos/faces/DocumentDisplay?id=1439822.1