【WebLogic】Oracle发布2022年第四季度中间件安全公告

        Oracle于美国时间10月18日发布了旗下产品2022年第四季度的安全公告，其中涉及Oracle WebLogic中间件的漏洞共 8 个，除一个8.1分的中危漏洞，其余均为低危漏洞。Oracle Coherence中间件（包括Coherence独立产品，以及WebLogic集成的coherence组件）的安全漏洞 1 个（低危漏洞）。本季度发布的WebLogic中间件的安全漏洞中并未涉及内核（Core）组件的漏洞。

        目前官方扔提供补丁技术支持的WebLogic中间件大版本还有2个，分别为12c（12.2.1.3.0、12.2.1.4.0）、14c（14.1.1.0.0），该三个版本的补丁技术支持日期分别到2022年10月、2025年7月，以及2028年1月。

        此外，Oracle JDK1.8 的小版本号已经分别升级到了351（Oracle JDK 8 Update 351），JDK1.7版本的官方版本更新已经结束，版本号将停留在1.7.0_351。OPatch版本没有更新，与第三季度一致，版本号为：13.9.4.2.10

附：2022年10月19日发布的中间件漏洞公告

CVE-ID	产品	组件	协议	远程利用 无需授权？	基础 分值	攻击 媒介	攻击 复杂度	用户 交互	受影响版本 (On-support)
CVE-2020-28052	Oracle WebLogic Server	Centralized Thirdparty Jars (Bouncy Castle Java Library)	TLS	Yes	8.1	Network	High	None	12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
CVE-2022-23437	Oracle WebLogic Server	Centralized Thirdparty Jars (Apache Xerces-J)	HTTP	Yes	6.5	Network	Low	Required	12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
CVE-2022-22971	Oracle WebLogic Server	Centralized Thirdparty Jars (Spring Framework)	HTTP	No	6.5	Network	Low	None	12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
CVE-2022-24823	Oracle Coherence	Configuration and Parsing (Netty)	None	No	5.5	Local	Low	None	12.2.1.4.0 14.1.1.0.0
CVE-2020-17521	Oracle WebLogic Server	Centralized Thirdparty Jars (Apache Groovy)	None	No	5.5	Local	Low	None	12.2.1.3.0 12.2.1.4.0
CVE-2022-22968	Oracle WebLogic Server	Samples (Spring Framework)	HTTP	Yes	5.3	Network	Low	None	12.2.1.4.0 14.1.1.0.0
CVE-2022-21616	Oracle WebLogic Server	Web Container	None	No	5.2	Local	High	None	12.2.1.3.0 12.2.1.4.0 14.1.1.0.0
CVE-2021-29425	Oracle WebLogic Server	Centralized Thirdparty Jars (Commons IO)	HTTP	Yes	4.8	Network	High	None	12.2.1.3.0 12.2.1.4.0 14.1.1.0.0

附：WebLogic与JDK版本间的兼容关系

 参考：

https:/ /www.oracle/security-alerts/cpuoct2022.html#AppendixFMW

https://support.oracle/epmos/faces/DocumentDisplay?id=2806740.2

https://support.oracle/epmos/faces/DocumentDisplay?id=1439822.1