【WebLogic】Oracle发布WebLogic中间件2022年第1季度安全公告

        Oracle于美国时间2022年1月18日发布了Oracle多款产品的季度累积补丁集，其中涉及Oracle WebLogic中间件的漏洞共 25 个，其中高危漏洞 1 个，基础分值 9.8 分。另外，漏洞中涉及内核（core）组件的共 4 个。

        随着漏洞公告的正式发布，Oracle官方已经在官网挂出on-suppport的四个版本WebLogic的最新补丁。其中，适用于Oracle WebLogic 14.1.1.0.0、12.2.1.4.0、12.2.1.3.0三个版本的opatch工具已经升级到了13.9.4.2.8版本。

        此外，Oracle JDK两个主流版本的小版本号已经分别升级到了1.7.0_331 和 1.8.0_321。  

        从目前Oracle官方2022年1月最新发布的安全公告来看，官方已经不再为Oracle WebLogic 10.3.6.0提供最新的累积补丁集，这也宣告了官方对该版本长达10年（2012年7月-2021年10月）的补丁支持正式结束。官方在CPU下载页面公示的2021年10月提供最后补丁的产品，其中就有10.3.6.0，不过2022年1月，Oracle还是为12.1.3.0提供了一个最新的累积补丁集，2022年1月后，12.1.3.0也将不会再有季度补丁了。公示信息如下图所示：

        针对目前业界用的比较多10.3.6.0版本，如后续在安全扫描或者人工渗透中，再发现严重的安全漏洞，且本地补丁已经更新到了2021年10月最新，除了联系Oracle销售，索取MDS（MARKET DRIVEN SUPPORT）补丁之外，估计就只能升级Oracle WebLogic的12c版本（即12.2.1.4.0，对应JDK兼容版本为1.7、1.8，JDK1.6的不支持12c），或者14c版本（即14.1.1.0.0，对应JDK兼容版本为1.8或者11.0）。

CVE-ID	受影响产品	产品组件	协议	远程利用 无需授权？	基础分值	攻击媒介	攻击复杂度	用户交互	保密性	可用性	受影响版本 (Oracle On-support)
CVE-2022-21306	Oracle WebLogic Server	Core	T3	Yes	9.8	Network	Low	None	High	High	12.1.3.0.0 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
CVE-2021-4104	Oracle WebLogic Server	Centralized Thirdparty Jars (Apache Log4j)	HTTP	No	7.5	Network	High	None	High	High	12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
CVE-2022-21292	Oracle WebLogic Server	Samples	HTTP	Yes	7.5	Network	Low	None	High	None	12.2.1.4.0 14.1.1.0.0
CVE-2020-5258	Oracle WebLogic Server	Samples (dojo)	HTTP	Yes	7.5	Network	Low	None	None	None	12.2.1.4.0 14.1.1.0.0
CVE-2022-21371	Oracle WebLogic Server	Web Container	HTTP	Yes	7.5	Network	Low	None	High	None	12.1.3.0.0 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
CVE-2021-27568	Oracle WebLogic Server	Web Services (json-smart)	HTTP	Yes	7.5	Network	Low	None	None	High	12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
CVE-2021-44832	Oracle WebLogic Server	Centralized Thirdparty Jars (Apache Log4j)	HTTP	No	6.6	Network	High	None	High	High	12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
CVE-2022-21252	Oracle WebLogic Server	Samples	HTTP	Yes	6.5	Network	Low	None	Low	None	12.2.1.4.0 14.1.1.0.0
CVE-2022-21347	Oracle WebLogic Server	Core	T3	Yes	6.5	Network	Low	None	None	Low	12.1.3.0.0 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
CVE-2022-21350	Oracle WebLogic Server	Core	T3	Yes	6.5	Network	Low	None	None	Low	12.1.3.0.0 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
CVE-2022-21353	Oracle WebLogic Server	Core	T3	Yes	6.5	Network	Low	None	None	Low	12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
CVE-2020-2934	Oracle WebLogic Server	Datasource (MySQL Connector)	SQL	Yes	6.3	Network	Low	Required	Low	Low	12.1.3.0.0 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
CVE-2022-21361	Oracle WebLogic Server	Sample apps	HTTP	Yes	6.1	Network	Low	Required	Low	None	12.2.1.4.0 14.1.1.0.0
CVE-2020-11023	Oracle WebLogic Server	Sample apps (jQuery)	HTTP	Yes	6.1	Network	Low	Required	Low	None	12.2.1.4.0 14.1.1.0.0
CVE-2022-21257	Oracle WebLogic Server	Samples	HTTP	Yes	6.1	Network	Low	Required	Low	None	12.2.1.4.0 14.1.1.0.0
CVE-2022-21258	Oracle WebLogic Server	Samples	HTTP	Yes	6.1	Network	Low	Required	Low	None	14.1.1.0.0
CVE-2022-21259	Oracle WebLogic Server	Samples	HTTP	Yes	6.1	Network	Low	Required	Low	None	12.2.1.4.0 14.1.1.0.0
CVE-2022-21260	Oracle WebLogic Server	Samples	HTTP	Yes	6.1	Network	Low	Required	Low	None	12.2.1.4.0 14.1.1.0.0
CVE-2022-21261	Oracle WebLogic Server	Samples	HTTP	Yes	6.1	Network	Low	Required	Low	None	12.2.1.4.0 14.1.1.0.0
CVE-2022-21262	Oracle WebLogic Server	Samples	HTTP	Yes	6.1	Network	Low	Required	Low	None	12.2.1.4.0 14.1.1.0.0
CVE-2022-21386	Oracle WebLogic Server	Web Container	HTTP	Yes	6.1	Network	Low	Required	Low	None	12.1.3.0.0 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
CVE-2019-10219	Oracle WebLogic Server	Web Services (JBoss Enterprise Application Platform)	HTTP	Yes	6.1	Network	Low	Required	Low	None	12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
CVE-2018-1324	Oracle WebLogic Server	WLST (Apache Commons Compress)	None	No	5.5	Local	Low	Required	None	High	14.1.1.0.0
CVE-2020-13956	Oracle WebLogic Server	Samples (Apache HttpClient)	HTTP	Yes	5.3	Network	Low	None	None	None	12.2.1.4.0 14.1.1.0.0
CVE-2021-29425	Oracle WebLogic Server	Third Party Tools (Apache Commons IO)	HTTP	Yes	4.8	Network	High	None	Low	None	12.1.3.0.0 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0