- 本文目录 -
1. 补丁集修复漏洞说明
1.1 Oracle WebLogic 10.3.6.0.190716
1.2 Oracle WebLogic 12.1.3.0.190716
1.3 Oracle WebLogic 12.2.1.3.190522
2. WLS 内核组件漏洞说明
Oracle官方于2019年7月16日(2019年第三季度)发布了三个主流版本的WebLogic中间件的漏洞修复补丁,本次补丁修复的漏洞中有两个(CVE-2019-2824、CVE-2019-2827)涉及WebLogic Server的核心组件。另外,受影响的WebLogic中间件版本如下:
- Oracle WebLogic Server 10.3.6.0
- Oracle WebLogic Server 12.1.3.0
- Oracle WebLogic Server 12.2.1.3
3. 补丁集修复漏洞说明
3.1 Oracle WebLogic 10.3.6.0.190716
该补丁合集修复了下面新增的安全漏洞:
- 29585099 THE BACKPORT OF 27057023 CONTAINS AN ERROR
- 23071867 AGL DS XA AFFINITY NOT HONORED IN SOME TX LOCAL RESOURCE ASSIGNMENT SCENARIOS
- 29448643 JAVA.IO.INVALIDCLASSEXCEPTION: FILTER STATUS: REJECTED
- 29671623 CVE-2019-2725
- 26403575 CVE-2016-7103
- 29667975 CVE-2019-2824
- 29726561 CVE-2019-2729
- 29701537 CVE-2019-2827
3.2 Oracle WebLogic 12.1.3.0.190716
该补丁合集修复了下面新增的安全漏洞:
- 29667975: CVE-2019-2824
- 29671623: CVE-2019-2725
- 26403575: CVE-2016-7103
- 29701537: CVE-2019-2827
- 29870012: WLDATASOURCE.GETCONNECTIONTOINSTANCE(STRING INSTANCE) CAN FAIL IF NO CONNECTIONS TO INSTANCE HAVE BEEN PROCESSED
- 29448643: JAVA.IO.INVALIDCLASSEXCEPTION: FILTER STATUS: REJECTED
- 29312272: WSDL ERROR MUST ATTRIBUTE 'NAME' NOTFOUND IN ELEMENT 'BINDING
- 23071867: AGL DS XA AFFINITY NOT HONORED IN SOME TX LOCAL RESOURCE ASSIGNMENT SCENARIOS
- 29726561: CVE-2019-2729
3.3 Oracle WebLogic 12.2.1.3.190522
该补丁合集修复了下面新增的安全漏洞:
- 25369207: JAVA.LANG.OUTOFMEMORY ERROR HAPPENS WHEN INITIALIZING AN APPLICATION
- 29338121: CVE-2019-2799
- 29448643: JAVA.IO.INVALIDCLASSEXCEPTION: FILTER STATUS: REJECTED
- 29312272: WSDL ERROR MUST ATTRIBUTE 'NAME' NOTFOUND IN ELEMENT 'BINDING
- 26987594: ALLOW SUPRESSING CROSS COMPONENT WIRING PROCESSING DURING PROVISIONING
- 27010571: <BEA-000503> <INCOMING MESSAGE HEADER OR ABBREVIATION PROCESSING FAILED
- 26075541: .APPMERGEGEN_$DIGIT DIR REMAIN EVERY TIME BY DEPLOYING A EAR ON WLS 12.2.1
- 27823500: REGRESSION BUG WHICH INTRODUCED BY THE BUG FIXING OF 27678101
- 27248932: TRACKING BUG FOR 26941603 FOR WLS
- 25294832: WLS 12.2.1.2 DEPLOYMENT ERRORSMETHOD _JSPSERVICE EXCEEDS 65535 BYTES LIMIT
- 26131085: IMPROVE CORRUPT STORE RECOVERY
- 27659077: JSPS ARE GETTING RECOMPILED ON EVERY REQUEST
- 26403575: CVE-2016-7103
- 29667975: CVE-2019-2824
- 28278427: VERSION ADDED TWICE WHEN SAVING A SECURITY POLICY
- 29726561: CVE-2019-2729
- 29701537: CVE-2019-2827
- 29411629: CVE-2019-2856
- 29789769: FIXED AN ISSUE WITH XMLDECODER
4. WLS 内核组件漏洞说明
以上列出来的安全漏洞中有两个(漏洞编号分别为:CVE-2019-2824、CVE-2019-2827)涉及WebLogic Server核心组件(Core Components),而且影响了包括WebLogic Server 10.3.6.0、12.1.3.0、12.2.1.3这三个主流版本,基础评分为5.5,即中危。因此,建议线上生产环境的Oracle WebLogic 10.3.6.0、12.1.3.0分别安装Oracle WebLogic 10.3.6.0.190716、Oracle WebLogic 12.1.3.0.190716补丁合集,Oracle WebLogic 12.2.1.3安装Oracle WebLogic 12.2.1.3.190522这个补丁合集。
说明:
1) WebLogic 11g在补丁更新前需要删除(参数:-remove)之前安装的补丁集以及部分独立的补丁;
2) WebLogic 12c(12.1.3.0、12.2.1.3)可以直接安装覆盖之前的补丁;
3) WebLogic 12.2.1.3在安装补丁之前需要升级optach组件版本到13.9.4.2.0。
关于补丁下载:请使用Oracle官方授权给合作伙伴的MOS账号,登录 https://support.oracle.com/ 进行补丁下载。
ORACLE官方资料参考:https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html
5. 提供技术支持
详情请参阅:https://www.cnblogs.com/cnskylee/p/12799708.html
--------------------------------------------------------------------------------------------------------------------------------------------
原创文章,转载请务必注明原文地址:https://www.cnblogs.com/cnskylee/p/11200191.html
否则将保留依法追究著作权的权利.
2019年7月17日 12:21 于 安徽 合肥
--------------------------------------------------------------------------------------------------------------------------------------------