【WebLogic】Oracle发布2022年第三季度中间件安全公告

        Oracle于美国时间7月19日发布了旗下产品2022年第三季度的安全公告，其中涉及Oracle WebLogic中间件的漏洞共 17 个（高危漏洞 3 个，基础分值 9.8 分），Oracle Coherence中间件（包括Coherence独立产品，以及WebLogic集成的coherence组件）的安全漏洞 2 个（中危漏洞）。另外，涉及内核（Core）组件的漏洞共 3 个，均为中危漏洞。

        目前官方扔提供补丁技术支持的WebLogic中间件大版本还有2个，分别为12c（12.2.1.3.0、12.2.1.4.0）、14c（14.1.1.0.0），该三个版本的补丁技术支持日期分别到2022年10月、2025年7月，以及2028年1月。

        此外，Oracle JDK两个主流版本的小版本号已经分别升级到了351（Oracle JDK 7 Update 351） 和341（Oracle JDK 8 Update 341 b31）。

附：2022年7月19日发布的中间件漏洞公告

CVE-ID	产品	组件	协议	远程利用 无需授权？	基础 分值	攻击媒介	攻击 复杂度	用户 交互	受影响版本 (On-support)
CVE-2022-23457	Oracle WebLogic Server	Centralized Third Party Jars (OWASP Enterprise Security API)	HTTP	Yes	9.8	Network	Low	None	12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
CVE-2021-23450	Oracle WebLogic Server	Sample apps (Dojo)	HTTP	Yes	9.8	Network	Low	None	12.2.1.4.0 14.1.1.0.0
CVE-2022-22965	Oracle WebLogic Server	Third Party Tools, Samples  (Spring Framework)	HTTP	Yes	9.8	Network	Low	None	12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
CVE-2021-26291	Oracle WebLogic Server	Centralized Third Party Jars (Apache Maven)	HTTP	Yes	9.1	Network	Low	None	12.2.1.3.0 12.2.1.4.0
CVE-2021-2351	Oracle WebLogic Server	Installer (OCCI)	Oracle Net	Yes	8.3	Network	High	Required	12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
CVE-2020-11987	Oracle WebLogic Server	Centralized Third Party Jars (Apache Batik)	HTTP	Yes	8.2	Network	Low	None	12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
CVE-2020-36518	Oracle Coherence	Centralized Thirdparty Jars (jackson-databind)	HTTP	Yes	7.5	Network	Low	None	14.1.1.0.0
CVE-2022-21570	Oracle Coherence	Core	T3, IIOP	Yes	7.5	Network	Low	None	3.7.1.0 12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
CVE-2020-36518	Oracle WebLogic Server	Centralized Third Party Jars (jackson-databind)	HTTP	Yes	7.5	Network	Low	None	12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
CVE-2022-24839	Oracle WebLogic Server	Centralized Third Party Jars (NekoHTML)	HTTP	Yes	7.5	Network	Low	None	12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
CVE-2020-28491	Oracle WebLogic Server	Centralized Third Party Jars (jackson-dataformats-binary)	HTTP	Yes	7.5	Network	Low	None	12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
CVE-2021-40690	Oracle WebLogic Server	Centralized Thirdparty Jars (Apache Santuario XML Security For Java)	HTTP	Yes	7.5	Network	Low	None	12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
CVE-2022-21548	Oracle WebLogic Server	Core	T3, IIOP	Yes	6.5	Network	Low	None	12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
CVE-2022-29577	Oracle WebLogic Server	Centralized Third Party Jars (AntiSamy)	HTTP	Yes	6.1	Network	Low	Required	12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
CVE-2022-21557	Oracle WebLogic Server	Web Container	None	No	5.7	Local	High	None	12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
CVE-2022-21560	Oracle WebLogic Server	Core	T3, IIOP	Yes	5.3	Network	Low	None	12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
CVE-2022-21564	Oracle WebLogic Server	Web Services	T3, IIOP	Yes	5.3	Network	Low	None	12.2.1.3.0 12.2.1.4.0 14.1.1.0.0

附：WebLogic与JDK版本间的兼容关系

参考：

https://www.oracle.com/security-alerts/cpujul2022.html

https://support.oracle.com/epmos/faces/DocumentDisplay?id=2817011.1

https ://support.oracle.com/epmos/faces/DocumentDisplay?id=1439822.1