oracle 中间件认证矩阵

为了保护免受已知漏洞的侵害，Oracle强烈建议遵循https://www.oracle.com/technetwork/topics/security/alerts-086861.html上的重要补丁更新（CPU）程序来应用最新的补丁集更新（PSU） ），以从同一CPU周期更新Oracle WebLogic Server和相应的Java SE（JDK / JRE）。 在前面提到的链接中，找到最新的安全公告，以找到具有包含WebLogic Server的所有CPU要求的表的最新补丁程序可用性文档的链接。

WebLogic Server修补程序集更新（PSU）中提供了针对反序列化漏洞的某些WebLogic Server修复程序，具体取决于2018年7月JDK更新和更高版本JDK更新中提供的JEP 290筛选和JEP 290全局范围筛选功能。 没有这些JDK更新或更高版本的JDK更新，这些针对反序列化漏洞的WebLogic Server修补程序将无效。 Oracle强烈建议您确保WebLogic Server以受支持的JDK版本运行，并且至少具有以下JDK更新级别：

• JDK 11(for WebLogic Server versions that are supported on JDK 11), or
• JDK 8 Update 181 (JDK 8u181) or later (for WebLogic Server versions that are supported on JDK 8), or
• JDK 7 Update 191 (JDK 7u191) or later( for WebLogic Server versions that are supported on JDK 7)

请注意，以上未引用JDK 6，因为JDK 6扩展支持于2018年12月结束，并且Oracle不再为JDK 6提供纠错功能。JDK 6当前不支持WebLogic Server版本。WebLogicServer 10.3.6客户应在以下版本上运行 支持的JDK 7版本。

WebLogic Server使用JDK JEP 290机制来过滤传入的序列化Java对象并限制可以反序列化的类。 该筛选器有助于防止遭受可能导致拒绝服务（DOS）或远程代码执行（RCE）攻击的特制恶意序列化对象的攻击。

JEP 290 JDK支持

JEP 290 JDK支持于2017年1月JDK更新中首次发布。 自从首次发布JEP 290 JDK支持以来，JEP 290 JDK支持在2018年7月JDK更新中增加了全局范围过滤功能，并且JDK 6扩展支持已终止。 Oracle强烈建议您确保WebLogic Server与支持JEP 290全局范围筛选，已通过WebLogic Server认证并继续受Oracle支持的JDK版本一起运行。 因此，Oracle强烈建议您确保WebLogic Server以受支持的JDK版本运行，并且至少具有以下JDK更新级别：

• WLS 10.3.6.0: Java SE 7 Update 201 (JDK 7u201) *
• WLS 12.1.3.0: Java SE 7 Update 201 (JDK 7u201) or Java SE 8 Update 191 (JDK 8u191)
• WLS 12.2.1.3: Java SE 8 Update 191 (JDK 8u191)
• WLS 12.2.1.4: Java SE 8 Update 211 (JDK 8u211)
• WLS 14.1.1.0: Java SE 11.0.6 or Java SE 8 Update 251 (JDK 8u251)

如果使用不支持JEP 290全局范围筛选的JDK，则WebLogic Server会继续运行并提供针对已知反序列化攻击的保护，但不会保护JEP 290的更高级功能。请注意，JDK 6不能 上文提到，由于JDK 6扩展支持于2018年12月结束，并且Oracle不再为JDK 6提供错误纠正。JDK 6当前不支持WebLogic Server版本。请参阅Note 1506916.1 获取Oracle 融合中间件产品的Java SE (JDK/JRE) 和Note 1492980.1 如何安装和维护与FMW 11g/12c/14.1.1 产品一起安装或使用的Java SE。

参考手册：

Oracle Fusion Middleware Supported System Configurations

https://www.oracle.com/middleware/technologies/fusion-certification.html