【漏洞公告】Oracle WebLogic Server 11g / 12c核心組件漏洞的說明以及詳細修復方案（原創）

- 本文目錄 - 

1. 補丁集修復漏洞說明

    1.1 Oracle WebLogic 10.3.6.0.190716

    1.2 Oracle WebLogic 12.1.3.0.190716

    1.3 Oracle WebLogic 12.2.1.3.190522

2. WLS 內核組件漏洞說明 

Oracle官方於2019年7月16日（2019年第三季度）發布了三個主流版本的WebLogic中間件的漏洞修復補丁，本次補丁修復的漏洞中有兩個（CVE-2019-2824、CVE-2019-2827）涉及WebLogic Server的核心組件。另外，受影響的WebLogic中間件版本如下：

•     Oracle WebLogic Server 10.3.6.0
•     Oracle WebLogic Server 12.1.3.0
•     Oracle WebLogic Server 12.2.1.3

3. 補丁集修復漏洞說明

3.1 Oracle WebLogic 10.3.6.0.190716

該補丁合集修復了下面新增的安全漏洞：

• 29585099   THE BACKPORT OF 27057023 CONTAINS AN ERROR
• 23071867   AGL DS XA AFFINITY NOT HONORED IN SOME TX LOCAL RESOURCE ASSIGNMENT SCENARIOS
• 29448643   JAVA.IO.INVALIDCLASSEXCEPTION: FILTER STATUS: REJECTED
• 29671623   CVE-2019-2725
• 26403575   CVE-2016-7103
• 29667975   CVE-2019-2824
• 29726561   CVE-2019-2729
• 29701537   CVE-2019-2827

3.2 Oracle WebLogic 12.1.3.0.190716

該補丁合集修復了下面新增的安全漏洞：

•  29667975: CVE-2019-2824
•  29671623: CVE-2019-2725
•  26403575: CVE-2016-7103
•  29701537: CVE-2019-2827
•  29870012: WLDATASOURCE.GETCONNECTIONTOINSTANCE(STRING INSTANCE) CAN FAIL IF NO CONNECTIONS TO INSTANCE HAVE BEEN PROCESSED
•  29448643: JAVA.IO.INVALIDCLASSEXCEPTION: FILTER STATUS: REJECTED
•  29312272: WSDL ERROR MUST ATTRIBUTE 'NAME' NOTFOUND IN ELEMENT  'BINDING
•  23071867: AGL DS XA AFFINITY NOT HONORED IN SOME TX LOCAL RESOURCE ASSIGNMENT SCENARIOS
•  29726561: CVE-2019-2729

3.3 Oracle WebLogic 12.2.1.3.190522

該補丁合集修復了下面新增的安全漏洞：

•  25369207: JAVA.LANG.OUTOFMEMORY ERROR HAPPENS WHEN INITIALIZING AN APPLICATION
•  29338121: CVE-2019-2799
•  29448643: JAVA.IO.INVALIDCLASSEXCEPTION: FILTER STATUS: REJECTED
•  29312272: WSDL ERROR MUST ATTRIBUTE 'NAME' NOTFOUND IN ELEMENT  'BINDING
•  26987594: ALLOW SUPRESSING CROSS COMPONENT WIRING PROCESSING DURING PROVISIONING
•  27010571: <BEA-000503> <INCOMING MESSAGE HEADER OR ABBREVIATION PROCESSING FAILED
•  26075541: .APPMERGEGEN_$DIGIT DIR REMAIN EVERY TIME BY DEPLOYING A EAR ON WLS 12.2.1
•  27823500: REGRESSION BUG WHICH INTRODUCED BY THE BUG FIXING OF 27678101
•  27248932: TRACKING BUG FOR 26941603 FOR WLS
•  25294832: WLS 12.2.1.2 DEPLOYMENT ERRORSMETHOD _JSPSERVICE EXCEEDS 65535 BYTES LIMIT
•  26131085: IMPROVE CORRUPT STORE RECOVERY
•  27659077: JSPS ARE GETTING RECOMPILED ON EVERY REQUEST
•  26403575: CVE-2016-7103
•  29667975: CVE-2019-2824
•  28278427: VERSION ADDED TWICE WHEN SAVING A SECURITY POLICY
•  29726561: CVE-2019-2729
•  29701537: CVE-2019-2827
•  29411629: CVE-2019-2856
•  29789769: FIXED AN ISSUE WITH XMLDECODER

 

4. WLS 內核組件漏洞說明

    以上列出來的安全漏洞中有兩個（漏洞編號分別為：CVE-2019-2824、CVE-2019-2827）涉及WebLogic Server核心組件（Core Components），而且影響了包括WebLogic Server 10.3.6.0、12.1.3.0、12.2.1.3這三個主流版本，基礎評分為5.5，即中危。因此，建議線上生產環境的Oracle WebLogic 10.3.6.0、12.1.3.0分別安裝Oracle WebLogic 10.3.6.0.190716、Oracle WebLogic 12.1.3.0.190716補丁合集，Oracle WebLogic 12.2.1.3安裝Oracle WebLogic 12.2.1.3.190522這個補丁合集。

說明：

1） WebLogic 11g在補丁更新前需要刪除（參數：-remove）之前安裝的補丁集以及部分獨立的補丁；

2） WebLogic 12c（12.1.3.0、12.2.1.3）可以直接安裝覆蓋之前的補丁；

3） WebLogic 12.2.1.3在安裝補丁之前需要升級optach組件版本到13.9.4.2.0。

 

關於補丁下載：請使用Oracle官方授權給合作伙伴的MOS賬號，登錄 https://support.oracle.com/ 進行補丁下載。

ORACLE官方資料參考：https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html

 

5. 提供技術支持

詳情請參閱：https://www.cnblogs.com/cnskylee/p/12799708.html

--------------------------------------------------------------------------------------------------------------------------------------------

　　原創文章，轉載請務必注明原文地址：https://www.cnblogs.com/cnskylee/p/11200191.html

　　否則將保留依法追究著作權的權利.

　　2019年7月17日 12:21 於 安徽 合肥

--------------------------------------------------------------------------------------------------------------------------------------------