Oracle Critical Patch Update 安全公告 - 2025年10月
概述
关键补丁更新(Critical Patch Update, CPU)是针对多个安全漏洞的补丁集合。这些补丁解决了Oracle代码及Oracle产品中包含的第三方组件中的漏洞。这些补丁通常是累积性的,但每份公告仅描述自上次关键补丁更新公告以来新增的安全补丁。因此,应查阅之前的关键补丁更新公告以获取有关先前已发布安全补丁的信息。有关Oracle安全公告的信息,请参阅"关键补丁更新、安全警报和公告"。
Oracle持续收到关于恶意利用Oracle已发布安全补丁修复漏洞的企图报告。在某些情况下,据报告攻击者之所以成功,是因为目标客户未能应用可用的Oracle补丁。因此,Oracle强烈建议客户保持在使用受支持版本的状态,并立即应用关键补丁更新的安全补丁。
本次关键补丁更新包含针对下文所列产品系列的374个全新安全补丁。请注意,总结本次关键补丁更新内容及其他Oracle软件安全保障活动的MOS说明位于2025年10月关键补丁更新:执行摘要与分析。
请注意,自2025年7月关键补丁更新发布以来,Oracle已针对Oracle电子商务套件发布了安全警报:CVE-2025-61882(2025年10月4日)和CVE-2025-61884(2025年10月11日)。强烈建议客户应用2025年10月针对Oracle电子商务套件的关键补丁更新,其中包含针对这些警报的补丁以及其他补丁。
受影响产品与补丁信息
本次关键补丁更新解决的安全漏洞影响下文所列产品。 请点击下方“补丁可用性文档”列中的链接以访问有关补丁可用性信息和安装说明的文档。
(此处省略了详细的受影响产品和版本列表,原文中为长达数百行的表格,包含产品名称、受影响的版本范围及对应的补丁文档链接。)
风险矩阵内容
风险矩阵仅列出与此公告关联的补丁新解决的安全漏洞。之前安全补丁的风险矩阵可在之前的关键补丁更新公告和警报中找到。本文档所提供风险矩阵的英文文本版本位于此处。
本关键补丁更新中解决的几个漏洞会影响多个产品。每个漏洞由CVE ID标识。影响多个产品的漏洞将在所有风险矩阵中以相同的CVE ID出现。
使用CVSS 3.1版对安全漏洞进行评分(有关Oracle如何应用CVSS 3.1版的说明,请参阅Oracle CVSS评分)。
Oracle对关键补丁更新解决的每个安全漏洞进行分析。Oracle不会向客户透露此安全分析的详细信息,但由此产生的风险矩阵及相关文档提供了有关利用漏洞所需条件以及成功利用的潜在影响的信息。Oracle提供此信息是为了让客户可以根据其产品使用的具体情况自行进行风险分析。更多信息,请参阅Oracle漏洞披露政策。
在其包含于Oracle产品中时不可利用的第三方组件中的漏洞,列在相应Oracle产品风险矩阵的下方。从2023年7月关键补丁更新开始,还提供了VEX理由。
风险矩阵中的协议意味着其所有安全变体也受到影响。例如,如果HTTP被列为受影响协议,则意味着HTTPS也受影响。协议的安全变体仅在它是唯一受影响变体时列在风险矩阵中。
缓解措施
由于成功攻击构成的威胁,Oracle强烈建议客户尽快应用关键补丁更新的安全补丁。在应用关键补丁更新补丁之前,通过阻止攻击所需的网络协议可能降低成功攻击的风险。对于需要特定权限或访问特定包的攻击,从未需要这些权限的用户中移除权限或访问包的能力可能有助于降低成功攻击的风险。这两种方法都可能破坏应用程序功能,因此Oracle强烈建议客户在非生产系统上测试更改。这两种方法都不应被视为长期解决方案,因为它们都不能纠正根本问题。
跳过的关键补丁更新
Oracle强烈建议客户尽快应用安全补丁。对于跳过一个或多个关键补丁更新且担心在此次关键补丁更新中未宣布安全补丁的产品的客户,请查阅之前的关键补丁更新公告以确定适当的措施。
关键补丁更新支持的产品和版本
通过关键补丁更新计划发布的补丁仅针对属于生命周期支持政策下"主要支持"或"扩展支持"阶段的产品版本提供。Oracle建议客户规划产品升级,以确保关键补丁更新计划发布的补丁可用于其当前运行的版本。
未处于主要支持或扩展支持状态的产品发布版本不会针对本次关键补丁更新解决的漏洞存在进行测试。但是,受影响的早期版本很可能也受到这些漏洞的影响。因此,Oracle建议客户升级到受支持的版本。
数据库、Fusion Middleware和Oracle Enterprise Manager产品的补丁根据软件纠错支持政策提供,该政策进一步补充了My Oracle Support说明209768.1中解释的"生命周期支持政策"。请查看技术支持政策以获取有关支持政策和支持阶段的进一步指南。
致谢声明
以下人员或组织向Oracle报告了本次关键补丁更新解决的安全漏洞:(此处省略了详细的贡献者名单)
深度安全贡献者
Oracle感谢为我们的"深度安全"计划做出贡献的人员(参见FAQ)。如果人员提供导致未来版本中Oracle代码或文档发生重大修改,但并非关键到需要在关键补丁更新中分发的安全漏洞问题的信息、观察或建议,则会因其深度安全贡献而受到认可。
在此次关键补丁更新中,Oracle认可以下人员对Oracle深度安全计划的贡献:(此处省略了贡献者名单)
在线安全贡献者
Oracle感谢为我们的"在线安全"计划做出贡献的人员(参见FAQ)。如果人员提供导致Oracle在线外部系统发生重大修改的与安全相关问题相关的信息、观察或建议,则会因其对Oracle在线安全的贡献而受到认可。
本季度,Oracle认可以下人员对Oracle在线安全计划的贡献:(此处省略了贡献者名单)
关键补丁更新时间表
关键补丁更新在每年一月、四月、七月和十月的第三个星期二发布。接下来的四个日期是:
- 2026年1月20日
- 2026年4月21日
- 2026年7月21日
- 2026年10月20日
参考
- Oracle Critical Patch Updates, Security Alerts and Bulletins
- Critical Patch Update - October 2025 Documentation Map
- Oracle Critical Patch Updates and Security Alerts - Frequently Asked Questions
- Risk Matrix Definitions
- Use of Common Vulnerability Scoring System (CVSS) by Oracle
- English text version of the risk matrices
- CSAF JSON version of the risk matrices
- Map of CVE to Advisory/Alert
- Oracle Lifetime support Policy
- JEP 290 Reference Blocklist Filter
修改历史
| 日期 | 说明 |
|---|---|
| 2025年10月21日 | 版本1。初始发布。 |
Oracle 数据库产品风险矩阵
本次关键补丁更新包含18个针对Oracle数据库产品的新安全补丁,细分如下:
- 6个 针对Oracle数据库产品的新安全补丁
- 4个 针对Oracle Essbase的新安全补丁
- 6个 针对Oracle GoldenGate的新安全补丁
- 1个 针对Oracle Graph Server and Client的新安全补丁
- 1个 针对Oracle REST Data Services的新安全补丁
- 没有针对Oracle Secure Backup的新安全补丁,但提供了第三方补丁
- 没有针对Oracle Spatial Studio的新安全补丁,但提供了第三方补丁
- 没有针对Oracle TimesTen In-Memory Database的新安全补丁,但提供了第三方补丁
(后续部分为针对每个具体产品系列(如Oracle Database Server, Oracle Essbase, Oracle GoldenGate等)的详细风险矩阵表格。每个表格列出了该产品系列在此次CPU中新解决的CVE漏洞,包含CVE ID、受影响的组件、所需的包和/或权限、协议、是否可远程无认证利用、CVSS 3.1风险评分详情(基础分、攻击向量、攻击复杂度、所需权限、用户交互、范围、对机密性/完整性/可用性的影响)以及受影响的版本和备注。文中还包含了对某些CVE补丁同时解决的额外CVE的说明,以及针对非可利用的第三方CVE的额外补丁说明(通常带有VEX理由)。由于这些风险矩阵数据庞大且高度结构化,此处仅做概括性翻译,保留其核心信息结构。)
Oracle Database Server 风险矩阵
此关键补丁更新包含6个新安全补丁(加上下文注明的额外第三方补丁)。其中2个漏洞可能无需身份验证即可远程利用(即,可通过网络利用,无需用户凭据)。1个补丁适用于仅客户端安装(即,未安装Oracle数据库服务器的安装)。此风险矩阵的英文文本形式可在此处找到。
风险矩阵表格(示例行)
| CVE ID | 组件 | 包和/或所需权限 | 协议 | 远程无认证利用? | CVSS 3.1 风险评分 (基础分) | 受影响的支持版本 | 备注 |
|---|---|---|---|---|---|---|---|
| CVE-2025-4517 | RDBMS (Python) | 认证用户 | 无 | 否 | 7.3 | 21.3-21.19, 23.4-23.9 | |
| CVE-2025-61881 | Java VM | 无 | Oracle Net | 是 | 5.9 | 19.3-19.28, 21.3-21.19, 23.4-23.9 | |
| … | … | … | … | … | … | … | … |
额外解决的CVE:
- CVE-2025-4517的补丁还解决了 CVE-2024-12254, CVE-2024-12718, CVE-2024-6923, CVE-2024-8088, CVE-2025-1795, CVE-2025-4138, CVE-2025-4330, CVE-2025-4435。
此Oracle产品系列的非可利用CVE的额外补丁:
- Database (Apache Tomcat): CVE-2025-52520, CVE-2025-48989, CVE-2025-52434 和 CVE-2025-53506 [VEX理由: vulnerable_code_not_in_execute_path]。
- Database (Perl): CVE-2025-59375 [VEX理由: vulnerable_code_cannot_be_controlled_by_adversary]。
- …(其他类似条目)
Oracle数据库服务器仅客户端安装:
- 本次关键补丁更新中包含的以下Oracle数据库服务器漏洞影响仅客户端安装:CVE-2025-4949。
Oracle Essbase 风险矩阵
此关键补丁更新包含4个新安全补丁(加上下文注明的额外第三方补丁)。其中2个漏洞可能无需身份验证即可远程利用。此风险矩阵的英文文本形式可在此处找到。
(类似的结构,包含风险矩阵表格和额外补丁说明)
Oracle GoldenGate 风险矩阵
此关键补丁更新包含6个新安全补丁(加上下文注明的额外第三方补丁)。其中2个漏洞可能无需身份验证即可远程利用。此风险矩阵的英文文本形式可在此处找到。
(类似的结构,包含风险矩阵表格和额外补丁说明)
Oracle Graph Server and Client 风险矩阵
此关键补丁更新包含1个新安全补丁(加上下文注明的额外第三方补丁)。此漏洞无法无需身份验证即可远程利用。此风险矩阵的英文文本形式可在此处找到。
(类似的结构,包含风险矩阵表格和额外补丁说明)
Oracle REST Data Services 风险矩阵
此关键补丁更新包含1个新安全补丁。此漏洞无法无需身份验证即可远程利用。此风险矩阵的英文文本形式可在此处找到。
(类似的结构,包含风险矩阵表格)
Oracle Secure Backup 风险矩阵
此关键补丁更新未包含针对可开发利用漏洞的新安全补丁,但包含了针对以下Oracle Secure Backup非可利用第三方CVE的第三方补丁。如果未应用上一次关键补丁更新,请参考之前的关键补丁更新公告。此风险矩阵的英文文本形式可在此处找到。
(非可利用CVE列表)
Oracle Spatial Studio 风险矩阵
此关键补丁更新未包含针对可开发利用漏洞的新安全补丁,但包含了针对以下Oracle Spatial Studio非可利用第三方CVE的第三方补丁。如果未应用上一次关键补丁更新,请参考之前的关键补丁更新公告。此风险矩阵的英文文本形式可在此处找到。
(非可利用CVE列表)
Oracle TimesTen In-Memory Database 风险矩阵
此关键补丁更新未包含针对可开发利用漏洞的新安全补丁,但包含了针对以下Oracle TimesTen In-Memory Database非可利用第三方CVE的第三方补丁。如果未应用上一次关键补丁更新,请参考之前的关键补丁更新公告。此风险矩阵的英文文本形式可在此处找到。
(非可利用CVE列表)
Oracle 商务产品风险矩阵
(类似结构,概述了该产品系列的新补丁数量、可远程利用的漏洞数量,并附有详细的风险矩阵表格和额外CVE说明。后续所有产品系列(如Oracle Communications Applications, Oracle Communications, Oracle Construction and Engineering, Oracle E-Business Suite等)均遵循此模式。为节省篇幅,此处不再逐项展开翻译每个风险矩阵表格,仅保留其核心统计信息。)
本次关键补丁更新包含 9个 针对Oracle商务产品的新安全补丁。其中 2个 漏洞可能无需身份验证即可远程利用。此风险矩阵的英文文本形式可在此处找到。
风险矩阵表格(略)
额外解决的CVE:
- CVE-2025-48795的补丁还解决了 CVE-2025-23184。
- CVE-2025-22233的补丁还解决了 CVE-2024-38820。
…(后续为 Oracle Communications Applications, Oracle Communications, Oracle Construction and Engineering, Oracle E-Business Suite, Oracle Enterprise Manager, Oracle Financial Services Applications, Oracle Fusion Middleware, Oracle Analytics, Oracle Health Sciences Applications, Oracle HealthCare Applications, Oracle Hospitality Applications, Oracle Hyperion, Oracle Insurance Applications, Oracle Java SE, Oracle JD Edwards, Oracle MySQL, Oracle PeopleSoft, Oracle Retail Applications, Oracle Siebel CRM, Oracle Supply Chain, Oracle Systems, Oracle Utilities Applications, Oracle Virtualization 的详细风险矩阵。每个部分都遵循:新补丁总数、可远程无认证利用的漏洞数量、风险矩阵表格(CVE ID, 产品, 组件, 协议, 是否可远程无认证利用, CVSS 3.1风险评分各维度, 受影响版本, 备注)、额外解决的CVE说明(如有)、非可利用第三方CVE的额外补丁说明(如有)。结构完全一致,仅数据不同。)…
Oracle 虚拟化风险矩阵
本次关键补丁更新包含 9个 针对Oracle虚拟化的新安全补丁。这些漏洞均无法无需身份验证即可远程利用(即,无法通过网络利用,无需用户凭据)。此风险矩阵的英文文本形式可在此处找到。
风险矩阵表格(示例行)
| CVE ID | 产品 | 组件 | 协议 | 远程无认证利用? | CVSS 3.1 风险评分 (基础分) | 受影响的支持版本 | 备注 |
|---|---|---|---|---|---|---|---|
| CVE-2025-62587 | Oracle VM VirtualBox | 核心 | 无 | 否 | 8.2 | 7.1.12, 7.2.2 | |
| CVE-2025-62588 | Oracle VM VirtualBox | 核心 | 无 | 否 | 8.2 | 7.1.12, 7.2.2 | |
| … | … | … | … | … | … | … | … |
(文章结束)