oracle 中间件认证矩阵

网友投稿 595 2022-05-30

为了保护免受已知漏洞的侵害,Oracle强烈建议遵循https://www.oracle.com/technetwork/topics/security/alerts-086861.html上的重要补丁更新(CPU)程序来应用最新的补丁集更新(PSU) ),以从同一CPU周期更新Oracle WebLogic Server和相应的Java SE(JDK / JRE)。 在前面提到的链接中,找到最新的安全公告,以找到具有包含WebLogic Server的所有CPU要求的表的最新补丁程序可用性文档的链接。

WebLogic Server修补程序集更新(PSU)中提供了针对反序列化漏洞的某些WebLogic Server修复程序,具体取决于2018年7月JDK更新和更高版本JDK更新中提供的JEP 290筛选和JEP 290全局范围筛选功能。 没有这些JDK更新或更高版本的JDK更新,这些针对反序列化漏洞的WebLogic Server修补程序将无效。 Oracle强烈建议您确保WebLogic Server以受支持的JDK版本运行,并且至少具有以下JDK更新级别:

JDK 11(for WebLogic Server versions that are supported on JDK 11), or

JDK 8 Update 181 (JDK 8u181) or later (for WebLogic Server versions that are supported on JDK 8), or

JDK 7 Update 191 (JDK 7u191) or later( for WebLogic Server versions that are supported on JDK 7)

请注意,以上未引用JDK 6,因为JDK 6扩展支持于2018年12月结束,并且Oracle不再为JDK 6提供纠错功能。JDK 6当前不支持WebLogic Server版本。WebLogicServer 10.3.6客户应在以下版本上运行 支持的JDK 7版本。

WebLogic Server使用JDK JEP 290机制来过滤传入的序列化Java对象并限制可以反序列化的类。 该筛选器有助于防止遭受可能导致拒绝服务(DOS)或远程代码执行(RCE)攻击的特制恶意序列化对象的攻击。

JEP 290 JDK支持

JEP 290 JDK支持于2017年1月JDK更新中首次发布。 自从首次发布JEP 290 JDK支持以来,JEP 290 JDK支持在2018年7月JDK更新中增加了全局范围过滤功能,并且JDK 6扩展支持已终止。 Oracle强烈建议您确保WebLogic Server与支持JEP 290全局范围筛选,已通过WebLogic Server认证并继续受Oracle支持的JDK版本一起运行。 因此,Oracle强烈建议您确保WebLogic Server以受支持的JDK版本运行,并且至少具有以下JDK更新级别:

WLS 10.3.6.0: Java SE 7 Update 201 (JDK 7u201) *

oracle 中间件认证矩阵

WLS 12.1.3.0: Java SE 7 Update 201 (JDK 7u201) or Java SE 8 Update 191 (JDK 8u191)

WLS 12.2.1.3: Java SE 8 Update 191 (JDK 8u191)

WLS 12.2.1.4: Java SE 8 Update 211 (JDK 8u211)

WLS 14.1.1.0: Java SE 11.0.6 or Java SE 8 Update 251 (JDK 8u251)

如果使用不支持JEP 290全局范围筛选的JDK,则WebLogic Server会继续运行并提供针对已知反序列化攻击的保护,但不会保护JEP 290的更高级功能。请注意,JDK 6不能 上文提到,由于JDK 6扩展支持于2018年12月结束,并且Oracle不再为JDK 6提供错误纠正。JDK 6当前不支持WebLogic Server版本。请参阅Note 1506916.1 获取Oracle 融合中间件产品的Java SE (JDK/JRE) 和Note 1492980.1 如何安装和维护与FMW 11g/12c/14.1.1 产品一起安装或使用的Java SE。

参考手册:

Oracle Fusion Middleware Supported System Configurations

https://www.oracle.com/middleware/technologies/fusion-certification.html

https JDK Oracle

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:sklearn机器学习
下一篇:腾讯高频leetcode面试题汇总
相关文章