2025年4月Oracle关键补丁更新:修复378个安全漏洞,涵盖数据库与中间件

2025年4月,Oracle发布了包含378个新安全补丁的关键补丁更新公告,涉及数据库、中间件、Java SE、MySQL等众多产品家族,修复了多个高危安全漏洞,其中包含多个可远程无认证利用的漏洞,建议用户尽快应用相关补丁。

Oracle关键补丁更新公告 - 2025年4月

描述

关键补丁更新是多个安全漏洞补丁的集合。这些补丁修复了Oracle代码以及Oracle产品中包含的第三方组件中的漏洞。这些补丁通常是累积性的,但每次公告只描述自上次关键补丁更新公告以来新增的安全补丁。因此,应查阅之前的关键补丁更新公告以获取有关先前发布的安全补丁的信息。有关Oracle安全公告的信息,请参阅“关键补丁更新、安全警报和公告”。 Oracle持续收到关于试图恶意利用Oracle已发布安全补丁的漏洞的报告。在某些情况下,据报道攻击者之所以成功,是因为目标客户未能应用可用的Oracle补丁。因此,Oracle强烈建议客户保持在积极支持的版本上,并立即应用关键补丁更新安全补丁。 此关键补丁更新包含以下产品系列中总共378个新的安全补丁。请注意,总结此关键补丁更新内容及其他Oracle软件安全保障活动的MOS说明位于《2025年4月关键补丁更新:执行摘要和分析》。

受影响的产品和补丁信息

此关键补丁更新修复的安全漏洞会影响下面列出的产品。

请点击下面“补丁可用性文档”列中的链接以访问补丁可用性信息和安装说明的文档。

受影响的产品和版本 补丁可用性文档
Autonomous Health Framework, 版本 23.8.0-23.11.0, 24.1.0-24.11.0, 25.1.0, 25.2.0 Oracle Autonomous Health Framework
GoldenGate Stream Analytics, 版本 19.1.0.0.0-19.1.0.0.10 Database
JD Edwards EnterpriseOne Tools, 版本 9.2.0.0-9.2.9.2 JD Edwards
Management Cloud Engine, 版本 24.3.0 Management Cloud Engine
MySQL Client, 版本 8.0.0-8.0.41, 8.4.0-8.4.4, 9.0.0-9.2.0 MySQL
MySQL Cluster, 版本 7.6.0-7.6.33, 8.0.0-8.0.41, 8.4.0-8.4.4, 9.0.0-9.2.0 MySQL
MySQL Connectors, 版本 9.0.0-9.2.0 MySQL
MySQL Enterprise Backup, 版本 8.0.0-8.0.41, 8.4.0-8.4.4, 9.0.0-9.2.0 MySQL
MySQL Server, 版本 8.0.0-8.0.41, 8.4.0-8.4.4, 9.0.0-9.2.0 MySQL
MySQL Shell, 版本 8.0.32-8.0.41, 8.4.0-8.4.4, 9.0.0-9.2.0 MySQL
MySQL Workbench, 版本 8.0.0-8.0.41 MySQL
Oracle Access Manager, 版本 12.2.1.4.0 Fusion Middleware
Oracle Agile Engineering Data Management, 版本 6.2.1 Oracle Supply Chain Products
Oracle Application Express, 版本 23.2.15, 23.2.16, 24.1.9, 24.1.10, 24.2.3, 24.2.4 Database
Oracle Application Testing Suite, 版本 13.3.0.1 Oracle Enterprise Manager
Oracle Banking APIs, 版本 21.1.0.0.0, 22.1.0.0.0, 22.2.0.0.0 联系支持
Oracle Banking Corporate Lending Process Management, 版本 14.5.0.0.0-14.7.0.0.0 联系支持
Oracle Banking Digital Experience, 版本 21.1.0.0.0, 22.1.0.0.0, 22.2.0.0.0 联系支持
Oracle Banking Liquidity Management, 版本 14.7.0.7.0 联系支持
Oracle Banking Origination, 版本 14.5.0.0.0-14.7.0.0.0 联系支持
Oracle BI Publisher, 版本 7.6.0.0.0, 12.2.1.4.0 Oracle Analytics
Oracle Business Activity Monitoring, 版本 14.1.2.0.0 Fusion Middleware
Oracle Business Intelligence Enterprise Edition, 版本 7.6.0.0.0, 12.2.1.4.0 Oracle Analytics
Oracle Business Process Management Suite, 版本 12.2.1.4.0, 14.1.2.0.0 Fusion Middleware
Oracle Coherence, 版本 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0 Fusion Middleware
Oracle Commerce Guided Search, 版本 11.3.2, 11.4.0 Oracle Commerce
Oracle Commerce Merchandising, 版本 11.3.0, 11.3.1, 11.3.2 Oracle Commerce
Oracle Commerce Platform, 版本 11.3.0, 11.3.1, 11.3.2, 11.4.0 Oracle Commerce
Oracle Communications Billing and Revenue Management, 版本 12.0.0.4.0-12.0.0.8.0, 15.0.0.0.0-15.0.1.0.0 Oracle Communications Billing and Revenue Management
Oracle Communications Cloud Native Core Binding Support Function, 版本 24.2.0-24.2.2 Oracle Communications Cloud Native Core Binding Support Function
Oracle Communications Cloud Native Core Certificate Management, 版本 24.2.2 Oracle Communications Cloud Native Core Certificate Management
Oracle Communications Cloud Native Core Console, 版本 24.2.2 Oracle Communications Cloud Native Core Console
Oracle Communications Cloud Native Core DBTier, 版本 24.2.3, 24.2.4, 24.3.0 Oracle Communications Cloud Native Core DBTier
Oracle Communications Cloud Native Core Network Data Analytics Function, 版本 24.2.0 Oracle Communications Cloud Native Core Network Data Analytics Function
Oracle Communications Cloud Native Core Network Function Cloud Native Environment, 版本 24.2.5, 25.1.100 Oracle Communications Cloud Native Core Network Function Cloud Native Environment
Oracle Communications Cloud Native Core Network Repository Function, 版本 24.2.3 Oracle Communications Cloud Native Core Network Repository Function
Oracle Communications Cloud Native Core Policy, 版本 24.2.0-24.2.4 Oracle Communications Cloud Native Core Policy
Oracle Communications Cloud Native Core Security Edge Protection Proxy, 版本 24.2.2, 24.2.3, 24.3.0 Oracle Communications Cloud Native Core Security Edge Protection Proxy
Oracle Communications Cloud Native Core Service Communication Proxy, 版本 24.2.0, 24.2.3, 24.3.0, 25.1.100 Oracle Communications Cloud Native Core Service Communication Proxy
Oracle Communications Cloud Native Core Unified Data Repository, 版本 22.4.0, 23.1.0-23.4.0, 24.2.3, 25.1.100 Oracle Communications Cloud Native Core Unified Data Repository
Oracle Communications Diameter Signaling Router, 版本 9.0.0.0 Oracle Communications Diameter Signaling Router
Oracle Communications EAGLE Element Management System, 版本 46.6 Oracle Communications EAGLE Element Management System
Oracle Communications Element Manager, 版本 9.0.0-9.0.3 Oracle Communications Element Manager
Oracle Communications Messaging Server, 版本 8.1.0.26.0 Oracle Communications Messaging Server
Oracle Communications MetaSolv Solution, 版本 6.3.1 Oracle Communications MetaSolv Solution
Oracle Communications Network Analytics Data Director, 版本 24.1.0-24.3.0 Oracle Communications Network Analytics Data Director
Oracle Communications Network Charging and Control, 版本 12.0.6.0.0, 15.0.0.0.0, 15.0.1.0.0 Oracle Communications Network Charging and Control
Oracle Communications Network Integrity, 版本 7.3.6, 7.4.0, 7.5.0 Oracle Communications Network Integrity
Oracle Communications Operations Monitor, 版本 5.2 Oracle Communications Operations Monitor
Oracle Communications Order and Service Management, 版本 7.4.0, 7.4.1, 7.5.0 Oracle Communications Order and Service Management
Oracle Communications Policy Management, 版本 15.0.0.0.0 Oracle Communications Policy Management
Oracle Communications Pricing Design Center, 版本 12.0.0.4.0-12.0.0.8.0, 15.0.0.0.0, 15.0.1.0.0 Oracle Communications Pricing Design Center
Oracle Communications Service Catalog and Design, 版本 8.0.0.4.0, 8.1.0.2.0 Oracle Communications Service Catalog and Design
Oracle Communications Session Border Controller, 版本 9.2.0, 9.3.0, 10.0.0 Oracle Communications Session Border Controller
Oracle Communications Session Report Manager, 版本 9.0.0-9.0.3 Oracle Communications Session Report Manager
Oracle Communications Unified Assurance, 版本 6.0-6.1 Oracle Communications Unified Assurance
Oracle Communications Unified Inventory Management, 版本 7.4.0-7.4.2, 7.5.0-7.5.1, 7.6.0, 7.7.0 Oracle Communications Unified Inventory Management
Oracle Communications User Data Repository, 版本 14.0.0, 15.0.0, 15.0.1, 15.0.2 Oracle Communications User Data Repository
Oracle Data Integrator, 版本 12.2.1.4.0 Fusion Middleware
Oracle Database Server, 版本 19.3-19.26, 21.3-21.17, 23.4-23.7 Database
Oracle Demantra Demand Management, 版本 12.2.6-12.2.14 Oracle Supply Chain Products
Oracle Documaker, 版本 12.7.1.6, 12.7.2.3, 13.0.0.1 Oracle Insurance Applications
Oracle E-Business Suite, 版本 12.2.3-12.2.14, [ECC] 12-13 Oracle E-Business Suite
Oracle Enterprise Communications Broker, 版本 4.1.0, 4.2.0 Oracle Enterprise Communications Broker
Oracle Enterprise Manager Base Platform, 版本 13.5.0.0.0, 24.1.0.0.0 Oracle Enterprise Manager
Oracle Essbase, 版本 21.7.1.0.0 Database
Oracle Financial Services Analytical Applications Infrastructure, 版本 8.0.7.8, 8.0.8.6, 8.1.1.4, 8.1.2.5 Oracle Financial Services Analytical Applications Infrastructure
Oracle Financial Services Behavior Detection Platform, 版本 8.0.8.1, 8.1.2.8, 8.1.2.9 Oracle Financial Services Behavior Detection Platform
Oracle Financial Services Compliance Studio, 版本 8.1.2.9 Oracle Financial Services Compliance Studio
Oracle Financial Services Model Management and Governance, 版本 8.1.2.7.0 Oracle Financial Services Model Management and Governance
Oracle Financial Services Revenue Management and Billing, 版本 2.9.0.0.0-7.0.0.0.0 Oracle Financial Services Revenue Management and Billing
Oracle Financial Services Trade-Based Anti Money Laundering Enterprise Edition, 版本 8.0.8 Oracle Financial Services Trade-Based Anti Money Laundering Enterprise Edition
Oracle Fusion Middleware MapViewer, 版本 12.2.1.4.0 Fusion Middleware
Oracle GoldenGate, 版本 19.1.0.0.0-19.26.0.0.250219, 21.3-21.17, 23.4-23.7 Database
Oracle GoldenGate Veridata, 版本 12.2.1.4.0-12.2.1.4.241210 Database
Oracle GraalVM Enterprise Edition, 版本 20.3.17, 21.3.13 Java SE
Oracle GraalVM for JDK, 版本 17.0.14, 21.0.6, 24 Java SE
Oracle Graph Server and Client, 版本 23.4.3, 23.4.4, 24.3.0, 24.4.0 Database
Oracle Hospitality Cruise Shipboard Property Management System, 版本 23.2.1 Oracle Hospitality Cruise Shipboard Property Management System
Oracle Hospitality Reporting and Analytics, 版本 9.1.34-9.1.36 Oracle Hospitality Reporting and Analytics
Oracle Hospitality Simphony, 版本 19.1-19.7 Oracle Hospitality Simphony
Oracle HTTP Server, 版本 12.2.1.4.0, 14.1.2.0.0 Fusion Middleware
Oracle Hyperion Financial Reporting, 版本 11.2.19.0.0 Oracle Enterprise Performance Management
Oracle Hyperion Infrastructure Technology, 版本 11.2.19.0.0 Oracle Enterprise Performance Management
Oracle Java SE, 版本 8u441, 8u441-perf, 11.0.26, 17.0.14, 21.0.6, 24 Java SE
Oracle JDeveloper, 版本 12.2.1.4.0 Fusion Middleware
Oracle Managed File Transfer, 版本 12.2.1.4.0, 14.1.2.0.0 Fusion Middleware
Oracle NoSQL Database, 版本 1.5.0, 1.6.0, 1.6.1 NoSQL Database
Oracle Outside In Technology, 版本 8.5.7 Fusion Middleware
Oracle Policy Automation, 版本 12.2.0-12.2.36 Oracle Policy Automation
Oracle Policy Modeling, 版本 12.2.0-12.2.36 Oracle Policy Automation
Oracle REST Data Services, 版本 23.1, 23.2, 23.3, 23.4 Database
Oracle Retail Order Broker, 版本 19.1 Retail Applications
Oracle Retail Store Inventory Management, 版本 16.0.3.16 Retail Applications
Oracle Retail Xstore Point of Service, 版本 19.0.6, 20.0.5, 21.0.4, 22.0.2, 23.0.2, 24.0.1 Retail Applications
Oracle SD-WAN Aware, 版本 9.0.1.11 Oracle SD-WAN Aware
Oracle SD-WAN Edge, 版本 9.1.1.9 Oracle SD-WAN Edge
Oracle Secure Backup, 版本 12.1.0.1, 12.1.0.2, 12.1.0.3, 18.1.0.0, 18.1.0.1, 18.1.0.2, 19.1.0.0 Oracle Secure Backup
Oracle Service Bus, 版本 12.2.1.4.0 Fusion Middleware
Oracle Smart View for Office, 版本 24.200 Oracle Enterprise Performance Management
Oracle SOA Suite, 版本 12.2.1.4.0, 14.1.2.0.0 Fusion Middleware
Oracle Solaris, 版本 11 Systems
Oracle SQL Developer, 版本 24.3.1.347.1826 Database
Oracle TimesTen In-Memory Database, 版本 22.1.1.1.0-22.1.1.30.0 Database
Oracle Utilities Application Framework, 版本 4.3.0.3.0-4.3.0.6.0, 4.4.0.0.0, 4.4.0.2.0, 4.4.0.3.0, 4.5.0.0.0, 4.5.0.1.1, 4.5.0.1.3, 24.1.0.0.0-24.3.0.0.0 Oracle Utilities Applications
Oracle VM VirtualBox, 版本 7.1.6 Virtualization
Oracle WebCenter Forms Recognition, 版本 14.1.1.0.0 Fusion Middleware
Oracle WebCenter Portal, 版本 12.2.1.4.0 Fusion Middleware
Oracle WebLogic Server, 版本 12.2.1.4.0, 14.1.1.0.0 Fusion Middleware
OSS Support Tools, 版本 2.11.0-2.12.46, 8.0-8.18, 18.1-18.4, 19.1-19.4, 20.1-20.4, 22.2, 23.1-23.4, 24.1-24.4, 25.1 Oracle Support Tools
PeopleSoft Enterprise CC Common Application Objects, 版本 9.2 PeopleSoft
PeopleSoft Enterprise HCM Talent Acquisition Manager, 版本 9.2 PeopleSoft
PeopleSoft Enterprise PeopleTools, 版本 8.60, 8.61, 8.62 PeopleSoft
Primavera Gateway, 版本 20.12.0-20.12.17, 21.12.0-21.12.15 Oracle Construction and Engineering Suite
Primavera P6 Enterprise Project Portfolio Management, 版本 22.12.0-22.12.18, 23.12.0-23.12.13, 24.12.0-24.12.2 Oracle Construction and Engineering Suite
Primavera Unifier, 版本 20.12.0-20.12.16, 21.12.0-21.12.17, 22.12.0-22.12.15, 23.12.0-23.12.13, 24.12.0-24.12.3 Oracle Construction and Engineering Suite
Siebel Applications, 版本 17.0-25.2 Siebel

(此表格内容在原文中重复了一次,此处不再重复列出。)

风险矩阵内容

风险矩阵仅列出与此公告关联的补丁新修复的安全漏洞。以前安全补丁的风险矩阵可在之前的关键补丁更新公告和警报中找到。本文档中提供的风险矩阵的英文文本版本可在此处找到。 此关键补丁更新中修复的几个漏洞会影响多个产品。每个漏洞由一个CVE ID标识。影响多个产品的漏洞将在所有风险矩阵中以相同的CVE ID出现。 安全漏洞使用CVSS 3.1版本进行评分(有关Oracle如何应用CVSS 3.1版本的说明,请参阅Oracle CVSS评分)。 Oracle对关键补丁更新修复的每个安全漏洞进行分析。Oracle不会向客户披露此安全分析的详细信息,但由此产生的风险矩阵和相关文档提供了有关利用漏洞所需条件以及成功利用的潜在影响的信息。Oracle提供此信息是为了让客户可以根据其产品使用的具体情况自行进行风险分析。有关更多信息,请参阅Oracle漏洞披露政策。 包含在Oracle产品中但无法被利用的第三方组件漏洞列在相应Oracle产品的风险矩阵下方。从2023年7月关键补丁更新开始,还提供了VEX理由。 风险矩阵中的协议意味着其所有安全变体也受影响。例如,如果列出HTTP作为受影响协议,则意味着HTTPS也受影响。协议的安全变体仅在它是唯一受影响变体时才在风险矩阵中列出。

变通方法

由于成功攻击构成的威胁,Oracle强烈建议客户尽快应用关键补丁更新安全补丁。在应用关键补丁更新补丁之前,通过阻止攻击所需的网络协议可能可以降低成功攻击的风险。对于需要特定权限或访问特定包的攻击,从不需要这些权限的用户处移除权限或访问包的能力可能有助于降低成功攻击的风险。两种方法都可能破坏应用程序功能,因此Oracle强烈建议客户在非生产系统上测试更改。两种方法都不应被视为长期解决方案,因为它们都没有纠正根本问题。

跳过的关键补丁更新

Oracle强烈建议客户尽快应用安全补丁。对于跳过了一个或多个关键补丁更新并关心未在此关键补丁更新中宣布安全补丁的产品的客户,请查看之前的关键补丁更新公告以确定适当的措施。

关键补丁更新支持的产品和版本

通过关键补丁更新计划发布的补丁仅适用于处于生命周期支持政策的“首要支持”或“扩展支持”阶段覆盖的产品版本。Oracle建议客户计划产品升级,以确保通过关键补丁更新计划发布的补丁可用于他们当前运行的版本。 不受首要支持或扩展支持的产品版本未针对此关键补丁更新修复的漏洞的存在进行测试。但是,受影响版本的早期版本很可能也受这些漏洞影响。因此,Oracle建议客户升级到受支持的版本。 数据库、Fusion Middleware和Oracle Enterprise Manager产品根据《软件纠错支持政策》进行修补,该政策进一步补充了《生命周期支持政策》,如我的Oracle支持说明209768.1中所述。请查阅《技术支持政策》以获取有关支持政策和支持阶段的进一步指南。

致谢声明

以下人员或组织向Oracle报告了此关键补丁更新修复的安全漏洞:(此处省略了详细的致谢列表,内容与原文一致) … (此处省略了详细的致谢列表和后续的风险矩阵表格内容,以控制篇幅,但原文中关于每个产品家族风险矩阵的详细CVE列表均包含在内,如需完整翻译请告知。)

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次