Oracle 2025年1月关键补丁更新公告
描述
关键补丁更新是针对多个安全漏洞的补丁集合。这些补丁修复了Oracle代码和Oracle产品中包含的第三方组件中的漏洞。这些补丁通常是累积性的,但每个公告仅描述自上一个关键补丁更新公告以来新增的安全补丁。
Oracle持续收到关于恶意利用已发布安全补丁漏洞的报告。在某些情况下,攻击之所以成功是因为目标客户未能应用可用的Oracle补丁。因此,Oracle强烈建议客户保持在主动支持的版本上,并立即应用关键补丁更新安全补丁。
此关键补丁更新包含以下产品系列的318个新安全补丁。
受影响产品和补丁信息
此关键补丁更新解决的安全漏洞影响以下列出的产品。
受影响产品和版本
| 受影响产品和版本 | 补丁可用性文档 |
|---|---|
| Enterprise Manager for MySQL Database, version 13.5.2.0.0 | Oracle Enterprise Manager |
| JD Edwards EnterpriseOne Orchestrator, versions prior to 9.2.9.2 | JD Edwards |
| MySQL Server, versions 8.0.40 and prior, 8.4.3 and prior, 9.0.1 and prior, 9.1.0 and prior | MySQL |
| Oracle Database Server, versions 19.1, 19.3-19.25, 21.3-21.16, 23.4-23.6 | Database |
| Oracle Java SE, versions 8u431, 8u431-perf, 11.0.25, 17.0.13, 21.0.5, 23.0.1 | Java SE |
| Oracle WebLogic Server, versions 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0 | Fusion Middleware |
风险矩阵内容
风险矩阵仅列出此公告相关补丁新解决的安全漏洞。之前安全补丁的风险矩阵可在之前的关键补丁更新公告和警报中找到。
安全漏洞使用CVSS 3.1版本进行评分。Oracle对每个关键补丁更新解决的安全漏洞进行分析,风险矩阵和相关文档提供了利用漏洞所需条件的信息。
解决方案
由于成功攻击构成的威胁,Oracle强烈建议客户尽快应用关键补丁更新安全补丁。在应用关键补丁更新补丁之前,可以通过阻止攻击所需的网络协议来降低成功攻击的风险。
支持的版本
通过关键补丁更新程序发布的补丁仅提供给在终身支持政策的Premier Support或Extended Support阶段覆盖的产品版本。
致谢
Oracle感谢以下人员或组织向Oracle报告了此关键补丁更新解决的安全漏洞:
- Ahmed Shah of Malleum
- Alex Warren of Softsource vBridge
- Jie Liang of WingTecher Lab of Tsinghua University
- 以及其他安全研究人员
后续计划
关键补丁更新在1月、4月、7月和10月的第三个星期二发布。接下来的四个日期是:
- 2025年4月15日
- 2025年7月15日
- 2025年10月21日
- 2026年1月20日
各产品风险矩阵摘要
Oracle数据库产品
包含10个新安全补丁,其中:
- 5个用于Oracle数据库产品
- 2个用于Oracle GoldenGate
- 1个用于Oracle Application Express
- 1个用于Oracle REST Data Services
- 1个用于Oracle Secure Backup
Oracle通信产品
包含85个新安全补丁,其中59个可能无需身份验证即可远程利用。
Oracle融合中间件
包含22个新安全补丁,其中18个可能无需身份验证即可远程利用。
Oracle MySQL
包含39个新安全补丁,其中4个可能无需身份验证即可远程利用。
Oracle Java SE
包含2个新安全补丁,其中1个可能无需身份验证即可远程利用。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
