Oracle 2020年1月关键补丁更新公告
描述
关键补丁更新是针对多个安全漏洞的补丁集合。这些补丁通常是累积性的,但每个公告仅描述自上一个关键补丁更新公告以来新增的安全补丁。因此,应查阅先前的关键补丁更新公告以获取有关早期发布的安全补丁的信息。
Oracle持续收到针对已发布安全补丁的漏洞恶意利用尝试的报告。在某些情况下,攻击之所以成功是因为目标客户未能应用可用的Oracle补丁。因此,Oracle强烈建议客户保持使用受支持的版本并无延迟地应用关键补丁更新安全补丁。
此关键补丁更新包含以下产品系列的334个新安全补丁。
受影响产品和补丁信息
此关键补丁更新解决的安全漏洞影响以下列出的产品。产品区域显示在"补丁可用文档"列中。
受影响产品和版本
| 受影响产品和版本 | 补丁可用文档 |
|---|---|
| Enterprise Manager Base Platform, 版本 12.1.0.5, 13.2.0.0, 13.3.0.0 | Enterprise Manager |
| Enterprise Manager for Fusion Middleware, 版本 13.2.0.0, 13.3.0.0 | Enterprise Manager |
| Enterprise Manager for Oracle Database, 版本 12.1.0.5, 13.2.0.0, 13.3.0.0 | Enterprise Manager |
| …(完整产品列表) | … |
风险矩阵内容
风险矩阵仅列出与此公告关联的补丁新解决的安全漏洞。先前安全补丁的风险矩阵可在先前的关键补丁更新公告和警报中找到。
安全漏洞使用CVSS 3.0版本进行评分。Oracle对每个由关键补丁更新解决的安全漏洞进行分析,但不向客户披露此安全分析的详细信息。
规避措施
由于成功攻击构成的威胁,Oracle强烈建议客户尽快应用关键补丁更新安全补丁。在应用关键补丁更新补丁之前,可能可以通过阻止攻击所需的网络协议来降低成功攻击的风险。
跳过的关键补丁更新
Oracle强烈建议客户尽快应用安全补丁。对于跳过了一个或多个关键补丁更新并关注在此关键补丁更新中未宣布安全补丁的产品的客户,请查阅先前的关键补丁更新公告以确定适当的操作。
关键补丁更新支持的产品和版本
通过关键补丁更新程序发布的补丁仅提供给在终身支持策略的首选支持或扩展支持阶段覆盖的产品版本。
信用声明
Oracle感谢以下人员或组织向Oracle报告了此关键补丁更新解决的安全漏洞:(列出所有贡献者)
安全深度贡献者
Oracle感谢为我们的安全深度计划做出贡献的人员。
在线存在安全贡献者
Oracle感谢为我们的在线存在安全计划做出贡献的人员。
关键补丁更新计划
关键补丁更新在1月、4月、7月和10月最接近17日的星期二发布。接下来四个日期是:
- 2020年4月14日
- 2020年7月14日
- 2020年10月20日
- 2021年1月19日
修改历史
| 日期 | 备注 |
|---|---|
| 2020年4月20日 | Rev 7. 更新了与CVE-2020-2555相关的受影响版本。 |
| 2020年3月11日 | Rev 6. 更新了与CVE-2019-10247和CVE-2020-2592相关的Oracle AutoVue受影响版本。更新了与CVE-2020-2569相关的受影响版本。 |
| … | … |
各产品风险矩阵详情
Oracle数据库服务器风险矩阵
此关键补丁更新包含Oracle数据库服务器的12个新安全补丁。其中3个漏洞可能无需身份验证即可远程利用。
Oracle通信应用程序风险矩阵
此关键补丁更新包含Oracle通信应用程序的25个新安全补丁。其中23个漏洞可能无需身份验证即可远程利用。
Oracle工程和建筑风险矩阵
此关键补丁更新包含Oracle工程和建筑的12个新安全补丁。其中8个漏洞可能无需身份验证即可远程利用。
(继续列出所有产品类别的风险矩阵摘要…)
总结
此关键补丁更新解决了Oracle产品系列中的334个安全漏洞,涵盖了从数据库到中间件、应用程序和系统的广泛产品。建议所有Oracle客户评估其环境中的风险,并尽快应用相关补丁以保护其系统安全。