【WebLogic】Oracle发布2024年第二季度中间件安全公告

cnskylee2024-04-21 9:57

Oracle于美国时间2024年4月16日发布了 WebLogic 中间件2024年第二季度的安全公告,涉及漏洞共计 10 个,涉及示例程序的高危漏洞 1 个,中危漏洞中有3个涉及到核心组件(Core)。

此外,Oracle JDK1.8 的小版本号已经升级到了411(1.8.0_411)。

OPatch的最新版本号已经更新为:13.9.4.2.15(p28186730_1394215_Generic)

截至目前,Oracle官方扔提供补丁技术支持的WebLogic中间件大版本还有2个,分别为12c(12.2.1.4.0)、14c(14.1.1.0.0),该两个版本的补丁技术支持日期分别到2025年7月、2028年1月。

附:

I)补丁集信息

Oracle WebLogic 12.2.1.4.0

objectivec 复制代码 
36468190;FMW Thirdparty Bundle Patch 12.2.1.4.240401
36440005;WLS PATCH SET UPDATE 12.2.1.4.240325
1221421;Coherence Cumulative Patch 12.2.1.4.21
36187017;RDA release 24.2-2024416 for OFM 12.2.1.4 SPB
35965629;ADR FOR WEBLOGIC SERVER 12.2.1.4.0 CPU JAN 2024
33093748;One-off
32720458;JDBC 19.3.0.0 FOR CPUJAN2022 (WLS 12.2.1.4, WLS 14.1.1)

Oracle WebLogic 14.1.1.0.0

objectivec 复制代码 
36454290;WLS PATCH SET UPDATE 14.1.1.0.240328
36410357;Coherence Cumulative Patch 14.1.1.0.17
36187013;RDA release 24.2-2024416 for OFM 14.1.1 SPB
35965633;ADR FOR WEBLOGIC SERVER 14.1.1.0 CPU JAN 2024
32720458;JDBC 19.3.0.0 FOR CPUJAN2022 (WLS 12.2.1.4, WLS 14.1.1)

II)WebLogic中间件漏洞公告(2024年4月16日)

|--------------------|------------------------|----------------------------------------------------------|----------|--------------|-----------|-----------|------------|-----------|-----------------------|
| CVE-ID | 产品名称 | 组件名称 | 协议 | 远程利用无需授权 | 基础 分值 | 攻击 媒介 | 攻击 复杂度 | 用户 交互 | 受影响 版本 |
| CVE-2021-23369 | Oracle WebLogic Server | Samples (handlebars) | HTTP | 是 | 9.8 | 网络 | 低 | 不需要 | 12.2.1.4.0 14.1.1.0.0 |
| CVE-2023-5072 | Oracle WebLogic Server | Centralized Thirdparty Jars (JSON-java) | HTTP | 是 | 7.5 | 网络 | 低 | 不需要 | 14.1.1.0.0 |
| CVE-2023-52428 | Oracle WebLogic Server | Core (Nimbus JOSE+JWT) | HTTP | 是 | 7.5 | 网络 | 低 | 不需要 | 12.2.1.4.0 14.1.1.0.0 |
| CVE-2023-44487 | Oracle WebLogic Server | Web Container | HTTP/2 | 是 | 7.5 | 网络 | 低 | 不需要 | 14.1.1.0.0 |
| CVE-2024-21006 | Oracle WebLogic Server | Core | T3, IIOP | 是 | 7.5 | 网络 | 低 | 不需要 | 12.2.1.4.0 14.1.1.0.0 |
| CVE-2024-21007 | Oracle WebLogic Server | Core | T3, IIOP | 是 | 7.5 | 网络 | 低 | 不需要 | 12.2.1.4.0 14.1.1.0.0 |
| CVE-2023-2976 | Oracle WebLogic Server | WLST (Python) | None | 否 | 7.1 | 本地 | 低 | 不需要 | 14.1.1.0.0 |
| CVE-2024-23635 | Oracle WebLogic Server | Centralized Thirdparty Jars (AntiSamy) | HTTP | 是 | 6.1 | 网络 | 低 | 需要 | 12.2.1.4.0 14.1.1.0.0 |
| CVE-2024-26308 | Oracle WebLogic Server | Centralized Thirdparty Jars (Apache Commons Compress) | None | 否 | 5.5 | 本地 | 低 | 需要 | 14.1.1.0.0 |
| CVE-2023-33201 | Oracle WebLogic Server | Centralized Thirdparty Jars (Bouncy Castle Java Library) | Multiple | 是 | 5.3 | 网络 | 低 | 不需要 | 12.2.1.4.0 14.1.1.0.0 |

参考:

https://www.oracle.com/security-alerts/cpuapr2024.html

相关推荐
用户9623779544835 分钟前
DVWA 靶场实验报告 (High Level)
安全
数据智能老司机4 小时前
用于进攻性网络安全的智能体 AI——在 n8n 中构建你的第一个 AI 工作流
人工智能·安全·agent
数据智能老司机4 小时前
用于进攻性网络安全的智能体 AI——智能体 AI 入门
人工智能·安全·agent
用户962377954485 小时前
DVWA 靶场实验报告 (Medium Level)
安全
red1giant_star5 小时前
S2-067 漏洞复现:Struts2 S2-067 文件上传路径穿越漏洞
安全
用户962377954489 小时前
DVWA Weak Session IDs High 的 Cookie dvwaSession 为什么刷新不出来?
安全
cipher2 天前
ERC-4626 通胀攻击:DeFi 金库的"捐款陷阱"
前端·后端·安全
一次旅行5 天前
网络安全总结
安全·web安全
red1giant_star5 天前
手把手教你用Vulhub复现ecshop collection_list-sqli漏洞(附完整POC)
安全
jnrjian5 天前
ORA-01017 查找机器名 用户名 以及library cache lock 参数含义
数据库·oracle
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03OpenClaw + 飞书(Feishu)环境搭建指南04Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services05Clawdbot部署教程:解决‘gateway token missing’授权问题的完整步骤06小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)07OpenClaw优化飞书API 额度已耗尽问题08【OpenClaw 本地实战 Ep.3】突破瓶颈:强制修改 openclaw.json 解锁 32k 上下文记忆09Window 10部署openclaw报错node.exe : npm error code 12810OpenClaw大龙虾机器人完整安装教程