Oracle关键补丁发布:2025年4月季度安全更新详解

本文详细介绍了Oracle于2025年4月15日发布的季度关键补丁,涵盖多个产品中的安全漏洞,包括远程代码执行风险及修复建议,帮助企业和政府实体提升系统安全性。

Oracle季度关键补丁发布:2025年4月15日

MS-ISAC咨询编号:2025-041
发布日期:2025年4月16日

概述

在Oracle产品中发现了多个漏洞,可能允许远程代码执行。

受影响系统

  • Autonomous Health Framework,版本23.8.0-23.11.0、24.1.0-24.11.0、25.1.0、25.2.0
  • GoldenGate Stream Analytics,版本19.1.0.0.0-19.1.0.0.10
  • JD Edwards EnterpriseOne Tools,版本9.2.0.0-9.2.9.2
  • Management Cloud Engine,版本24.3.0
  • MySQL Client,版本8.0.0-8.0.41、8.4.0-8.4.4、9.0.0-9.2.0
  • MySQL Cluster,版本7.6.0-7.6.33、8.0.0-8.0.41、8.4.0-8.4.4、9.0.0-9.2.0
  • MySQL Connectors,版本9.0.0-9.2.0
  • MySQL Enterprise Backup,版本8.0.0-8.0.41、8.4.0-8.4.4、9.0.0-9.2.0
  • MySQL Server,版本8.0.0-8.0.41、8.4.0-8.4.4、9.0.0-9.2.0
  • MySQL Shell,版本8.0.32-8.0.41、8.4.0-8.4.4、9.0.0-9.2.0
  • MySQL Workbench,版本8.0.0-8.0.41
  • Oracle Access Manager,版本12.2.1.4.0
  • Oracle Agile Engineering Data Management,版本6.2.1
  • Oracle Application Express,版本23.2.15、23.2.16、24.1.9、24.1.10、24.2.3、24.2.4
  • Oracle Application Testing Suite,版本13.3.0.1
  • Oracle Banking APIs,版本21.1.0.0.0、22.1.0.0.0、22.2.0.0.0
  • Oracle Banking Corporate Lending Process Management,版本14.5.0.0.0-14.7.0.0.0
  • Oracle Banking Digital Experience,版本21.1.0.0.0、22.1.0.0.0、22.2.0.0.0
  • Oracle Banking Liquidity Management,版本14.7.0.7.0
  • Oracle Banking Origination,版本14.5.0.0.0-14.7.0.0.0
  • Oracle BI Publisher,版本7.6.0.0.0、12.2.1.4.0
  • Oracle Business Activity Monitoring,版本14.1.2.0.0
  • Oracle Business Intelligence Enterprise Edition,版本7.6.0.0.0、12.2.1.4.0
  • Oracle Business Process Management Suite,版本12.2.1.4.0、14.1.2.0.0
  • Oracle Coherence,版本12.2.1.4.0、14.1.1.0.0、14.1.2.0.0
  • Oracle Commerce Guided Search,版本11.3.2、11.4.0
  • Oracle Commerce Merchandising,版本11.3.0、11.3.1、11.3.2
  • Oracle Commerce Platform,版本11.3.0、11.3.1、11.3.2、11.4.0
  • Oracle Communications Billing and Revenue Management,版本12.0.0.4.0-12.0.0.8.0、15.0.0.0.0-15.0.1.0.0
  • Oracle Communications Cloud Native Core Binding Support Function,版本24.2.0-24.2.2
  • Oracle Communications Cloud Native Core Certificate Management,版本24.2.2
  • Oracle Communications Cloud Native Core Console,版本24.2.2
  • Oracle Communications Cloud Native Core DBTier,版本24.2.3、24.2.4、24.3.0
  • Oracle Communications Cloud Native Core Network Data Analytics Function,版本24.2.0
  • Oracle Communications Cloud Native Core Network Function Cloud Native Environment,版本24.2.5、25.1.100
  • Oracle Communications Cloud Native Core Network Repository Function,版本24.2.3
  • Oracle Communications Cloud Native Core Policy,版本24.2.0-24.2.4
  • Oracle Communications Cloud Native Core Security Edge Protection Proxy,版本24.2.2、24.2.3、24.3.0
  • Oracle Communications Cloud Native Core Service Communication Proxy,版本24.2.0、24.2.3、24.3.0、25.1.100
  • Oracle Communications Cloud Native Core Unified Data Repository,版本22.4.0、23.1.0-23.4.0、24.2.3、25.1.100
  • Oracle Communications Diameter Signaling Router,版本9.0.0.0
  • Oracle Communications EAGLE Element Management System,版本46.6
  • Oracle Communications Element Manager,版本9.0.0-9.0.3
  • Oracle Communications Messaging Server,版本8.1.0.26.0
  • Oracle Communications MetaSolv Solution,版本6.3.1
  • Oracle Communications Network Analytics Data Director,版本24.1.0-24.3.0
  • Oracle Communications Network Charging and Control,版本12.0.6.0.0、15.0.0.0.0、15.0.1.0.0
  • Oracle Communications Network Integrity,版本7.3.6、7.4.0、7.5.0
  • Oracle Communications Operations Monitor,版本5.2
  • Oracle Communications Order and Service Management,版本7.4.0、7.4.1、7.5.0
  • Oracle Communications Policy Management,版本15.0.0.0.0
  • Oracle Communications Pricing Design Center,版本12.0.0.4.0-12.0.0.8.0、15.0.0.0.0、15.0.1.0.0
  • Oracle Communications Service Catalog and Design,版本8.0.0.4.0、8.1.0.2.0
  • Oracle Communications Session Border Controller,版本9.2.0、9.3.0、10.0.0
  • Oracle Communications Session Report Manager,版本9.0.0-9.0.3
  • Oracle Communications Unified Assurance,版本6.0-6.1
  • Oracle Communications Unified Inventory Management,版本7.4.0-7.4.2、7.5.0-7.5.1、7.6.0、7.7.0
  • Oracle Communications User Data Repository,版本14.0.0、15.0.0、15.0.1、15.0.2
  • Oracle Data Integrator,版本12.2.1.4.0
  • Oracle Database Server,版本19.3-19.26、21.3-21.17、23.4-23.7
  • Oracle Demantra Demand Management,版本12.2.6-12.2.14
  • Oracle Documaker,版本12.7.1.6、12.7.2.3、13.0.0.1
  • Oracle E-Business Suite,版本12.2.3-12.2.14、[ECC] 12-13
  • Oracle Enterprise Communications Broker,版本4.1.0、4.2.0
  • Oracle Enterprise Manager Base Platform,版本13.5.0.0.0、24.1.0.0.0
  • Oracle Essbase,版本21.7.1.0.0
  • Oracle Financial Services Analytical Applications Infrastructure,版本8.0.7.8、8.0.8.6、8.1.1.4、8.1.2.5
  • Oracle Financial Services Behavior Detection Platform,版本8.0.8.1、8.1.2.8、8.1.2.9
  • Oracle Financial Services Compliance Studio,版本8.1.2.9
  • Oracle Financial Services Model Management and Governance,版本8.1.2.7.0
  • Oracle Financial Services Revenue Management and Billing,版本2.9.0.0.0-7.0.0.0.0
  • Oracle Financial Services Trade-Based Anti Money Laundering Enterprise Edition,版本8.0.8
  • Oracle Fusion Middleware MapViewer,版本12.2.1.4.0
  • Oracle GoldenGate,版本19.1.0.0.0-19.26.0.0.250219、21.3-21.17、23.4-23.7
  • Oracle GoldenGate Veridata,版本12.2.1.4.0-12.2.1.4.241210
  • Oracle GraalVM Enterprise Edition,版本20.3.17、21.3.13
  • Oracle GraalVM for JDK,版本17.0.14、21.0.6、24
  • Oracle Graph Server and Client,版本23.4.3、23.4.4、24.3.0、24.4.0
  • Oracle Hospitality Cruise Shipboard Property Management System,版本23.2.1
  • Oracle Hospitality Reporting and Analytics,版本9.1.34-9.1.36
  • Oracle Hospitality Simphony,版本19.1-19.7
  • Oracle HTTP Server,版本12.2.1.4.0、14.1.2.0.0
  • Oracle Hyperion Financial Reporting,版本11.2.19.0.0
  • Oracle Hyperion Infrastructure Technology,版本11.2.19.0.0
  • Oracle Java SE,版本8u441、8u441-perf、11.0.26、17.0.14、21.0.6、24
  • Oracle JDeveloper,版本12.2.1.4.0
  • Oracle Managed File Transfer,版本12.2.1.4.0、14.1.2.0.0
  • Oracle NoSQL Database,版本1.5.0、1.6.0、1.6.1
  • Oracle Outside In Technology,版本8.5.7
  • Oracle Policy Automation,版本12.2.0-12.2.36
  • Oracle Policy Modeling,版本12.2.0-12.2.36
  • Oracle REST Data Services,版本23.1、23.2、23.3、23.4
  • Oracle Retail Order Broker,版本19.1
  • Oracle Retail Store Inventory Management,版本16.0.3.16
  • Oracle Retail Xstore Point of Service,版本19.0.6、20.0.5、21.0.4、22.0.2、23.0.2、24.0.1
  • Oracle SD-WAN Aware,版本9.0.1.11
  • Oracle SD-WAN Edge,版本9.1.1.9
  • Oracle Secure Backup,版本12.1.0.1、12.1.0.2、12.1.0.3、18.1.0.0、18.1.0.1、18.1.0.2、19.1.0.0
  • Oracle Service Bus,版本12.2.1.4.0
  • Oracle Smart View for Office,版本24.200
  • Oracle SOA Suite,版本12.2.1.4.0、14.1.2.0.0
  • Oracle Solaris,版本11
  • Oracle SQL Developer,版本24.3.1.347.1826
  • Oracle TimesTen In-Memory Database,版本22.1.1.1.0-22.1.1.30.0
  • Oracle Utilities Application Framework,版本4.3.0.3.0-4.3.0.6.0、4.4.0.0.0、4.4.0.2.0、4.4.0.3.0、4.5.0.0.0、4.5.0.1.1、4.5.0.1.3、24.1.0.0.0-24.3.0.0.0
  • Oracle VM VirtualBox,版本7.1.6
  • Oracle WebCenter Forms Recognition,版本14.1.1.0.0
  • Oracle WebCenter Portal,版本12.2.1.4.0
  • Oracle WebLogic Server,版本12.2.1.4.0、14.1.1.0.0
  • OSS Support Tools,版本2.11.0-2.12.46、8.0-8.18、18.1-18.4、19.1-19.4、20.1-20.4、22.2、23.1-23.4、24.1-24.4、25.1
  • PeopleSoft Enterprise CC Common Application Objects,版本9.2
  • PeopleSoft Enterprise HCM Talent Acquisition Manager,版本9.2
  • PeopleSoft Enterprise PeopleTools,版本8.60、8.61、8.62
  • Primavera Gateway,版本20.12.0-20.12.17、21.12.0-21.12.15
  • Primavera P6 Enterprise Project Portfolio Management,版本22.12.0-22.12.18、23.12.0-23.12.13、24.12.0-24.12.2
  • Primavera Unifier,版本20.12.0-20.12.16、21.12.0-21.12.17、22.12.0-22.12.15、23.12.0-23.12.13、24.12.0-24.12.3
  • Siebel Applications,版本17.0-25.2

风险等级

  • 政府实体:大型和中型政府实体(高);小型政府实体(高)
  • 企业实体:大型和中型企业实体(高);小型企业实体(高)
  • 家庭用户:低

建议措施

我们建议采取以下行动:

  1. 应用补丁:在适当测试后,立即为易受攻击的系统应用Oracle提供的适当补丁或缓解措施。(M1051:更新软件)

    • 保障措施7.1:建立和维护企业资产的漏洞管理流程。每年审查和更新文档,或在发生可能影响此保障措施的重大企业变更时进行更新。
    • 保障措施7.2:建立和维护基于风险的修复策略,记录在修复流程中,每月或更频繁地进行审查。
    • 保障措施7.4:通过自动补丁管理每月或更频繁地对企业资产执行应用程序更新。
    • 保障措施7.5:每季度或更频繁地对内部企业资产执行自动漏洞扫描。使用符合SCAP的漏洞扫描工具进行身份验证和非身份验证扫描。
    • 保障措施7.7:根据修复流程,每月或更频繁地通过流程和工具修复检测到的软件漏洞。
    • 保障措施12.1:确保网络基础设施保持最新。示例实现包括运行最新的稳定软件版本和/或使用当前支持的网络即服务(NaaS)产品。每月或更频繁地审查软件版本以验证软件支持。
    • 保障措施18.1:建立和维护适合企业规模、复杂性和成熟度的渗透测试计划。渗透测试计划特征包括范围(如网络、Web应用程序、API、托管服务和物理场所控制)、频率、限制(如可接受的时间和排除的攻击类型)、联系信息、修复(如如何内部路由发现)和回顾要求。
    • 保障措施18.2:根据计划要求执行定期外部渗透测试,至少每年一次。外部渗透测试必须包括企业和环境侦察以检测可利用信息。渗透测试需要专业技能和经验,必须通过合格方进行。测试可以是白盒或黑盒。
    • 保障措施18.3:根据企业的修复范围和优先级策略修复渗透测试发现。
    • 漏洞扫描用于查找可能被利用的软件漏洞以进行修复。(M1016:漏洞扫描)
    • 保障措施16.13:执行应用程序渗透测试。对于关键应用程序,身份验证渗透测试比代码扫描和自动安全测试更适合发现业务逻辑漏洞。渗透测试依赖于测试员的技能,以身份验证和非身份验证用户手动操作应用程序。

  2. 最小权限原则:对所有系统和服务应用最小权限原则,并以非特权用户(无管理权限)运行所有软件,以减少成功攻击的影响。(M1026:特权账户管理)

    • 保障措施4.7:管理企业资产和软件上的默认账户,如root、管理员和其他预配置的供应商账户。示例实现包括禁用默认账户或使其无法使用。
    • 保障措施5.4:将管理员权限限制为企业资产上的专用管理员账户。从用户的主要非特权账户执行一般计算活动,如互联网浏览、电子邮件和生产力套件使用。
    • 保障措施5.5:建立和维护服务账户清单。清单至少必须包含部门所有者、审查日期和目的。定期执行服务账户审查以验证所有活动账户是否已授权,至少每季度或更频繁地进行。

  3. 用户培训:提醒所有用户不要访问不受信任的网站或遵循未知或不受信任来源提供的链接/打开文件。(M1017:用户培训)

    • 保障措施14.1:建立和维护安全意识计划。安全意识计划的目的是教育企业员工如何以安全的方式与企业资产和数据交互。在雇佣时进行培训,至少每年一次。每年审查和更新内容,或在发生可能影响此保障措施的重大企业变更时进行更新。
    • 保障措施14.2:培训员工识别社会工程攻击,
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次