oracle 中间件认证矩阵

举报
snowofsummer 发表于 2021/12/13 16:27:54 2021/12/13
【摘要】 为了保护免受已知漏洞的侵害,Oracle强烈建议遵循https://www.oracle.com/technetwork/topics/security/alerts-086861.html上的重要补丁更新(CPU)程序来应用最新的补丁集更新(PSU) ),以从同一CPU周期更新Oracle WebLogic Server和相应的Java SE(JDK / JRE)。 在前面提到的链接中,找...

为了保护免受已知漏洞的侵害,Oracle强烈建议遵循https://www.oracle.com/technetwork/topics/security/alerts-086861.html上的重要补丁更新(CPU)程序来应用最新的补丁集更新(PSU) ),以从同一CPU周期更新Oracle WebLogic Server和相应的Java SE(JDK / JRE)。 在前面提到的链接中,找到最新的安全公告,以找到具有包含WebLogic Server的所有CPU要求的表的最新补丁程序可用性文档的链接。

WebLogic Server修补程序集更新(PSU)中提供了针对反序列化漏洞的某些WebLogic Server修复程序,具体取决于2018年7月JDK更新和更高版本JDK更新中提供的JEP 290筛选和JEP 290全局范围筛选功能。 没有这些JDK更新或更高版本的JDK更新,这些针对反序列化漏洞的WebLogic Server修补程序将无效。 Oracle强烈建议您确保WebLogic Server以受支持的JDK版本运行,并且至少具有以下JDK更新级别:

  • JDK 11(for WebLogic Server versions that are supported on JDK 11), or
  • JDK 8 Update 181 (JDK 8u181) or later (for WebLogic Server versions that are supported on JDK 8), or
  • JDK 7 Update 191 (JDK 7u191) or later( for WebLogic Server versions that are supported on JDK 7)

请注意,以上未引用JDK 6,因为JDK 6扩展支持于2018年12月结束,并且Oracle不再为JDK 6提供纠错功能。JDK 6当前不支持WebLogic Server版本。WebLogicServer 10.3.6客户应在以下版本上运行 支持的JDK 7版本。

WebLogic Server使用JDK JEP 290机制来过滤传入的序列化Java对象并限制可以反序列化的类。 该筛选器有助于防止遭受可能导致拒绝服务(DOS)或远程代码执行(RCE)攻击的特制恶意序列化对象的攻击。

JEP 290 JDK支持

JEP 290 JDK支持于2017年1月JDK更新中首次发布。 自从首次发布JEP 290 JDK支持以来,JEP 290 JDK支持在2018年7月JDK更新中增加了全局范围过滤功能,并且JDK 6扩展支持已终止。 Oracle强烈建议您确保WebLogic Server与支持JEP 290全局范围筛选,已通过WebLogic Server认证并继续受Oracle支持的JDK版本一起运行。 因此,Oracle强烈建议您确保WebLogic Server以受支持的JDK版本运行,并且至少具有以下JDK更新级别:

  • WLS 10.3.6.0: Java SE 7 Update 201 (JDK 7u201) *
  • WLS 12.1.3.0: Java SE 7 Update 201 (JDK 7u201) or Java SE 8 Update 191 (JDK 8u191)
  • WLS 12.2.1.3: Java SE 8 Update 191 (JDK 8u191)
  • WLS 12.2.1.4: Java SE 8 Update 211 (JDK 8u211)
  • WLS 14.1.1.0: Java SE 11.0.6 or Java SE 8 Update 251 (JDK 8u251)

如果使用不支持JEP 290全局范围筛选的JDK,则WebLogic Server会继续运行并提供针对已知反序列化攻击的保护,但不会保护JEP 290的更高级功能。请注意,JDK 6不能 上文提到,由于JDK 6扩展支持于2018年12月结束,并且Oracle不再为JDK 6提供错误纠正。JDK 6当前不支持WebLogic Server版本。请参阅Note 1506916.1 获取Oracle 融合中间件产品的Java SE (JDK/JRE) 和Note 1492980.1 如何安装和维护与FMW 11g/12c/14.1.1 产品一起安装或使用的Java SE。








参考手册:

Oracle Fusion Middleware Supported System Configurations

https://www.oracle.com/middleware/technologies/fusion-certification.html
【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。