2025年4月Oracle季度关键补丁发布:远程代码执行漏洞风险预警

本文详细介绍了Oracle于2025年4月15日发布的关键安全补丁,涉及多个产品中的高危漏洞,可能导致远程代码执行。提供了受影响系统列表、风险评估以及详细的安全加固建议和防护措施。

Oracle季度关键补丁发布:2025年4月15日

MS-ISAC咨询编号:2025-041
发布日期:2025年4月16日

概述

在Oracle产品中发现了多个漏洞,这些漏洞可能允许远程代码执行。

受影响系统

  • Autonomous Health Framework,版本23.8.0-23.11.0、24.1.0-24.11.0、25.1.0、25.2.0
  • GoldenGate Stream Analytics,版本19.1.0.0.0-19.1.0.0.10
  • JD Edwards EnterpriseOne Tools,版本9.2.0.0-9.2.9.2
  • Management Cloud Engine,版本24.3.0
  • MySQL Client,版本8.0.0-8.0.41、8.4.0-8.4.4、9.0.0-9.2.0
  • MySQL Cluster,版本7.6.0-7.6.33、8.0.0-8.0.41、8.4.0-8.4.4、9.0.0-9.2.0
  • MySQL Connectors,版本9.0.0-9.2.0
  • MySQL Enterprise Backup,版本8.0.0-8.0.41、8.4.0-8.4.4、9.0.0-9.2.0
  • MySQL Server,版本8.0.0-8.0.41、8.4.0-8.4.4、9.0.0-9.2.0
  • MySQL Shell,版本8.0.32-8.0.41、8.4.0-8.4.4、9.0.0-9.2.0
  • MySQL Workbench,版本8.0.0-8.0.41
  • Oracle Access Manager,版本12.2.1.4.0
  • Oracle Agile Engineering Data Management,版本6.2.1
  • Oracle Application Express,版本23.2.15、23.2.16、24.1.9、24.1.10、24.2.3、24.2.4
  • Oracle Application Testing Suite,版本13.3.0.1
  • Oracle Banking APIs,版本21.1.0.0.0、22.1.0.0.0、22.2.0.0.0
  • Oracle Banking Corporate Lending Process Management,版本14.5.0.0.0-14.7.0.0.0
  • Oracle Banking Digital Experience,版本21.1.0.0.0、22.1.0.0.0、22.2.0.0.0
  • Oracle Banking Liquidity Management,版本14.7.0.7.0
  • Oracle Banking Origination,版本14.5.0.0.0-14.7.0.0.0
  • Oracle BI Publisher,版本7.6.0.0.0、12.2.1.4.0
  • Oracle Business Activity Monitoring,版本14.1.2.0.0
  • Oracle Business Intelligence Enterprise Edition,版本7.6.0.0.0、12.2.1.4.0
  • Oracle Business Process Management Suite,版本12.2.1.4.0、14.1.2.0.0
  • Oracle Coherence,版本12.2.1.4.0、14.1.1.0.0、14.1.2.0.0
  • Oracle Commerce Guided Search,版本11.3.2、11.4.0
  • Oracle Commerce Merchandising,版本11.3.0、11.3.1、11.3.2
  • Oracle Commerce Platform,版本11.3.0、11.3.1、11.3.2、11.4.0
  • Oracle Communications Billing and Revenue Management,版本12.0.0.4.0-12.0.0.8.0、15.0.0.0.0-15.0.1.0.0
  • Oracle Communications Cloud Native Core Binding Support Function,版本24.2.0-24.2.2
  • Oracle Communications Cloud Native Core Certificate Management,版本24.2.2
  • Oracle Communications Cloud Native Core Console,版本24.2.2
  • Oracle Communications Cloud Native Core DBTier,版本24.2.3、24.2.4、24.3.0
  • Oracle Communications Cloud Native Core Network Data Analytics Function,版本24.2.0
  • Oracle Communications Cloud Native Core Network Function Cloud Native Environment,版本24.2.5、25.1.100
  • Oracle Communications Cloud Native Core Network Repository Function,版本24.2.3
  • Oracle Communications Cloud Native Core Policy,版本24.2.0-24.2.4
  • Oracle Communications Cloud Native Core Security Edge Protection Proxy,版本24.2.2、24.2.3、24.3.0
  • Oracle Communications Cloud Native Core Service Communication Proxy,版本24.2.0、24.2.3、24.3.0、25.1.100
  • Oracle Communications Cloud Native Core Unified Data Repository,版本22.4.0、23.1.0-23.4.0、24.2.3、25.1.100
  • Oracle Communications Diameter Signaling Router,版本9.0.0.0
  • Oracle Communications EAGLE Element Management System,版本46.6
  • Oracle Communications Element Manager,版本9.0.0-9.0.3
  • Oracle Communications Messaging Server,版本8.1.0.26.0
  • Oracle Communications MetaSolv Solution,版本6.3.1
  • Oracle Communications Network Analytics Data Director,版本24.1.0-24.3.0
  • Oracle Communications Network Charging and Control,版本12.0.6.0.0、15.0.0.0.0、15.0.1.0.0
  • Oracle Communications Network Integrity,版本7.3.6、7.4.0、7.5.0
  • Oracle Communications Operations Monitor,版本5.2
  • Oracle Communications Order and Service Management,版本7.4.0、7.4.1、7.5.0
  • Oracle Communications Policy Management,版本15.0.0.0.0
  • Oracle Communications Pricing Design Center,版本12.0.0.4.0-12.0.0.8.0、15.0.0.0.0、15.0.1.0.0
  • Oracle Communications Service Catalog and Design,版本8.0.0.4.0、8.1.0.2.0
  • Oracle Communications Session Border Controller,版本9.2.0、9.3.0、10.0.0
  • Oracle Communications Session Report Manager,版本9.0.0-9.0.3
  • Oracle Communications Unified Assurance,版本6.0-6.1
  • Oracle Communications Unified Inventory Management,版本7.4.0-7.4.2、7.5.0-7.5.1、7.6.0、7.7.0
  • Oracle Communications User Data Repository,版本14.0.0、15.0.0、15.0.1、15.0.2
  • Oracle Data Integrator,版本12.2.1.4.0
  • Oracle Database Server,版本19.3-19.26、21.3-21.17、23.4-23.7
  • Oracle Demantra Demand Management,版本12.2.6-12.2.14
  • Oracle Documaker,版本12.7.1.6、12.7.2.3、13.0.0.1
  • Oracle E-Business Suite,版本12.2.3-12.2.14、[ECC] 12-13
  • Oracle Enterprise Communications Broker,版本4.1.0、4.2.0
  • Oracle Enterprise Manager Base Platform,版本13.5.0.0.0、24.1.0.0.0
  • Oracle Essbase,版本21.7.1.0.0
  • Oracle Financial Services Analytical Applications Infrastructure,版本8.0.7.8、8.0.8.6、8.1.1.4、8.1.2.5
  • Oracle Financial Services Behavior Detection Platform,版本8.0.8.1、8.1.2.8、8.1.2.9
  • Oracle Financial Services Compliance Studio,版本8.1.2.9
  • Oracle Financial Services Model Management and Governance,版本8.1.2.7.0
  • Oracle Financial Services Revenue Management and Billing,版本2.9.0.0.0-7.0.0.0.0
  • Oracle Financial Services Trade-Based Anti Money Laundering Enterprise Edition,版本8.0.8
  • Oracle Fusion Middleware MapViewer,版本12.2.1.4.0
  • Oracle GoldenGate,版本19.1.0.0.0-19.26.0.0.250219、21.3-21.17、23.4-23.7
  • Oracle GoldenGate Veridata,版本12.2.1.4.0-12.2.1.4.241210
  • Oracle GraalVM Enterprise Edition,版本20.3.17、21.3.13
  • Oracle GraalVM for JDK,版本17.0.14、21.0.6、24
  • Oracle Graph Server and Client,版本23.4.3、23.4.4、24.3.0、24.4.0
  • Oracle Hospitality Cruise Shipboard Property Management System,版本23.2.1
  • Oracle Hospitality Reporting and Analytics,版本9.1.34-9.1.36
  • Oracle Hospitality Simphony,版本19.1-19.7
  • Oracle HTTP Server,版本12.2.1.4.0、14.1.2.0.0
  • Oracle Hyperion Financial Reporting,版本11.2.19.0.0
  • Oracle Hyperion Infrastructure Technology,版本11.2.19.0.0
  • Oracle Java SE,版本8u441、8u441-perf、11.0.26、17.0.14、21.0.6、24
  • Oracle JDeveloper,版本12.2.1.4.0
  • Oracle Managed File Transfer,版本12.2.1.4.0、14.1.2.0.0
  • Oracle NoSQL Database,版本1.5.0、1.6.0、1.6.1
  • Oracle Outside In Technology,版本8.5.7
  • Oracle Policy Automation,版本12.2.0-12.2.36
  • Oracle Policy Modeling,版本12.2.0-12.2.36
  • Oracle REST Data Services,版本23.1、23.2、23.3、23.4
  • Oracle Retail Order Broker,版本19.1
  • Oracle Retail Store Inventory Management,版本16.0.3.16
  • Oracle Retail Xstore Point of Service,版本19.0.6、20.0.5、21.0.4、22.0.2、23.0.2、24.0.1
  • Oracle SD-WAN Aware,版本9.0.1.11
  • Oracle SD-WAN Edge,版本9.1.1.9
  • Oracle Secure Backup,版本12.1.0.1、12.1.0.2、12.1.0.3、18.1.0.0、18.1.0.1、18.1.0.2、19.1.0.0
  • Oracle Service Bus,版本12.2.1.4.0
  • Oracle Smart View for Office,版本24.200
  • Oracle SOA Suite,版本12.2.1.4.0、14.1.2.0.0
  • Oracle Solaris,版本11
  • Oracle SQL Developer,版本24.3.1.347.1826
  • Oracle TimesTen In-Memory Database,版本22.1.1.1.0-22.1.1.30.0
  • Oracle Utilities Application Framework,版本4.3.0.3.0-4.3.0.6.0、4.4.0.0.0、4.4.0.2.0、4.4.0.3.0、4.5.0.0.0、4.5.0.1.1、4.5.0.1.3、24.1.0.0.0-24.3.0.0.0
  • Oracle VM VirtualBox,版本7.1.6
  • Oracle WebCenter Forms Recognition,版本14.1.1.0.0
  • Oracle WebCenter Portal,版本12.2.1.4.0
  • Oracle WebLogic Server,版本12.2.1.4.0、14.1.1.0.0
  • OSS Support Tools,版本2.11.0-2.12.46、8.0-8.18、18.1-18.4、19.1-19.4、20.1-20.4、22.2、23.1-23.4、24.1-24.4、25.1
  • PeopleSoft Enterprise CC Common Application Objects,版本9.2
  • PeopleSoft Enterprise HCM Talent Acquisition Manager,版本9.2
  • PeopleSoft Enterprise PeopleTools,版本8.60、8.61、8.62
  • Primavera Gateway,版本20.12.0-20.12.17、21.12.0-21.12.15
  • Primavera P6 Enterprise Project Portfolio Management,版本22.12.0-22.12.18、23.12.0-23.12.13、24.12.0-24.12.2
  • Primavera Unifier,版本20.12.0-20.12.16、21.12.0-21.12.17、22.12.0-22.12.15、23.12.0-23.12.13、24.12.0-24.12.3
  • Siebel Applications,版本17.0-25.2

风险等级

政府机构:

  • 大中型政府实体:高
  • 小型政府实体:高

企业:

  • 大中型企业实体:高
  • 小型企业实体:高

家庭用户:

建议措施

我们建议采取以下行动:

  1. 立即应用补丁:在适当测试后,立即为易受攻击的系统应用Oracle提供的适当补丁或缓解措施。(M1051:更新软件)

  2. 漏洞管理流程(保障措施7.1):建立和维护企业资产的文档化漏洞管理流程。每年或在发生可能影响此保障措施的重大企业变更时审查和更新文档。

  3. 修复流程(保障措施7.2):建立和维护基于风险的修复策略,并在修复流程中记录,每月或更频繁地进行审查。

  4. 自动化应用补丁管理(保障措施7.4):通过每月或更频繁的自动化补丁管理对企业资产执行应用更新。

  5. 自动化漏洞扫描(保障措施7.5):每季度或更频繁地对内部企业资产执行自动化漏洞扫描。使用符合SCAP标准的漏洞扫描工具进行认证和非认证扫描。

  6. 修复检测到的漏洞(保障措施7.7):根据修复流程,每月或更频繁地通过流程和工具修复软件中检测到的漏洞。

  7. 确保网络基础设施更新(保障措施12.1):确保网络基础设施保持最新。示例实现包括运行最新稳定版本的软件和/或使用当前支持的网络即服务(NaaS)产品。每月或更频繁地审查软件版本以验证软件支持。

  8. 建立和维护渗透测试计划(保障措施18.1):建立和维护适合企业规模、复杂性和成熟度的渗透测试计划。渗透测试计划特征包括范围(如网络、Web应用程序、API、托管服务和物理场所控制)、频率、限制(如可接受的时间和排除的攻击类型)、联系信息、修复(如如何内部路由发现)和回顾要求。

  9. 执行定期外部渗透测试(保障措施18.2):根据计划要求执行定期外部渗透测试,每年不少于一次。外部渗透测试必须包括企业和环境侦察以检测可利用信息。渗透测试需要专业技能和经验,必须通过合格方进行。测试可以是白盒或黑盒。

  10. 修复渗透测试发现(保障措施18.3):根据企业的修复范围和优先级策略修复渗透测试发现。

  11. 漏洞扫描:使用漏洞扫描来查找可能被利用的软件漏洞并进行修复。(M1016:漏洞扫描)

  12. 应用渗透测试(保障措施16.13):执行应用渗透测试。对于关键应用,认证渗透测试比代码扫描和自动化安全测试更适合发现业务逻辑漏洞。渗透测试依赖于测试人员的技能,以认证和非认证用户身份手动操作应用程序。

  13. 最小权限原则:对所有系统和服务应用最小权限原则,并以非特权用户(无管理权限)身份运行所有软件,以减少成功攻击的影响。(M1026:特权账户管理)

  14. 管理默认账户(保障措施4.7):管理企业资产和软件上的默认账户,如root、administrator和其他预配置的供应商账户。示例实现包括:禁用默认账户或使其不可用。

  15. 限制管理员权限(保障措施5.4):将管理员权限限制为企业资产上的专用管理员账户。从用户的主要非特权账户执行一般计算活动,如互联网浏览、电子邮件和生产力套件使用。

  16. 建立和维护服务账户清单(保障措施5.5):建立和维护服务账户清单。清单至少必须包含部门所有者、审查日期和目的。按照至少每季度或更频繁的定期计划执行服务账户审查,以验证所有活动账户是否已授权。

  17. 用户培训

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次