【WebLogic】Oracle发布2024年第二季度中间件安全公告

Oracle于美国时间2024年4月16日发布了 WebLogic 中间件2024年第二季度的安全公告,涉及漏洞共计 10 个,涉及示例程序的高危漏洞 1 个,中危漏洞中有3个涉及到核心组件(Core)。

此外,Oracle JDK1.8 的小版本号已经升级到了411(1.8.0_411)。

OPatch的最新版本号已经更新为:13.9.4.2.15(p28186730_1394215_Generic)

截至目前,Oracle官方扔提供补丁技术支持的WebLogic中间件大版本还有2个,分别为12c(12.2.1.4.0)、14c(14.1.1.0.0),该两个版本的补丁技术支持日期分别到2025年7月、2028年1月。

附:

I)补丁集信息

Oracle WebLogic 12.2.1.4.0

objectivec 复制代码
36468190;FMW Thirdparty Bundle Patch 12.2.1.4.240401
36440005;WLS PATCH SET UPDATE 12.2.1.4.240325
1221421;Coherence Cumulative Patch 12.2.1.4.21
36187017;RDA release 24.2-2024416 for OFM 12.2.1.4 SPB
35965629;ADR FOR WEBLOGIC SERVER 12.2.1.4.0 CPU JAN 2024
33093748;One-off
32720458;JDBC 19.3.0.0 FOR CPUJAN2022 (WLS 12.2.1.4, WLS 14.1.1)

Oracle WebLogic 14.1.1.0.0

objectivec 复制代码
36454290;WLS PATCH SET UPDATE 14.1.1.0.240328
36410357;Coherence Cumulative Patch 14.1.1.0.17
36187013;RDA release 24.2-2024416 for OFM 14.1.1 SPB
35965633;ADR FOR WEBLOGIC SERVER 14.1.1.0 CPU JAN 2024
32720458;JDBC 19.3.0.0 FOR CPUJAN2022 (WLS 12.2.1.4, WLS 14.1.1)

II)WebLogic中间件漏洞公告(2024年4月16日)

|--------------------|------------------------|----------------------------------------------------------|----------|--------------|-----------|-----------|------------|-----------|-----------------------|
| CVE-ID | 产品名称 | 组件名称 | 协议 | 远程利用无需授权 | 基础 分值 | 攻击 媒介 | 攻击 复杂度 | 用户 交互 | 受影响 版本 |
| CVE-2021-23369 | Oracle WebLogic Server | Samples (handlebars) | HTTP | 是 | 9.8 | 网络 | 低 | 不需要 | 12.2.1.4.0 14.1.1.0.0 |
| CVE-2023-5072 | Oracle WebLogic Server | Centralized Thirdparty Jars (JSON-java) | HTTP | 是 | 7.5 | 网络 | 低 | 不需要 | 14.1.1.0.0 |
| CVE-2023-52428 | Oracle WebLogic Server | Core (Nimbus JOSE+JWT) | HTTP | 是 | 7.5 | 网络 | 低 | 不需要 | 12.2.1.4.0 14.1.1.0.0 |
| CVE-2023-44487 | Oracle WebLogic Server | Web Container | HTTP/2 | 是 | 7.5 | 网络 | 低 | 不需要 | 14.1.1.0.0 |
| CVE-2024-21006 | Oracle WebLogic Server | Core | T3, IIOP | 是 | 7.5 | 网络 | 低 | 不需要 | 12.2.1.4.0 14.1.1.0.0 |
| CVE-2024-21007 | Oracle WebLogic Server | Core | T3, IIOP | 是 | 7.5 | 网络 | 低 | 不需要 | 12.2.1.4.0 14.1.1.0.0 |
| CVE-2023-2976 | Oracle WebLogic Server | WLST (Python) | None | 否 | 7.1 | 本地 | 低 | 不需要 | 14.1.1.0.0 |
| CVE-2024-23635 | Oracle WebLogic Server | Centralized Thirdparty Jars (AntiSamy) | HTTP | 是 | 6.1 | 网络 | 低 | 需要 | 12.2.1.4.0 14.1.1.0.0 |
| CVE-2024-26308 | Oracle WebLogic Server | Centralized Thirdparty Jars (Apache Commons Compress) | None | 否 | 5.5 | 本地 | 低 | 需要 | 14.1.1.0.0 |
| CVE-2023-33201 | Oracle WebLogic Server | Centralized Thirdparty Jars (Bouncy Castle Java Library) | Multiple | 是 | 5.3 | 网络 | 低 | 不需要 | 12.2.1.4.0 14.1.1.0.0 |

参考:

https://www.oracle.com/security-alerts/cpuapr2024.html

相关推荐
ylscode7 小时前
OpenSSH 10.4 正式发布:后量子加密落地,多项高危漏洞得到修复
网络·安全·网络安全
DianSan_ERP8 小时前
电商架构演进:如何在高并发场景下实现多平台API的标准化履约?
运维·前端·网络·安全·架构·自动化
搭贝9 小时前
低代码平台构建EHS环境健康安全管理系统:从隐患排查到合规审计的全流程实操指南
安全·低代码
IvorySQL12 小时前
IvorySQL Agent 探索与实践
数据库·人工智能·postgresql·oracle·ivorysql
doiito13 小时前
【Web安全,微服务安全】HashiCorp Vault 项目深度分析报告
安全·微服务
一拳一个娘娘腔13 小时前
第八期:实战演练 —— 构建一个完整的攻击链(模拟)
安全
星幻元宇VR13 小时前
公共安全实训展厅设备【人防知识学习系统】
科技·学习·安全
想你依然心痛13 小时前
嵌入式Linux安全加固:SELinux、Capabilities与Seccomp——强制访问控制与沙箱
linux·运维·安全
HackTwoHub14 小时前
ARL灯塔重构版:支持APP/小程序/WEB资产同步扫描
人工智能·安全·web安全·网络安全·小程序·重构·自动化
MDM.Plus15 小时前
苹果MDM技术演进:从远程控制到设备信任体系的构建
运维·服务器·安全·ios·mdm·手机店