Oracle 2020年10月关键补丁更新公告
描述
关键补丁更新是针对多个安全漏洞的补丁集合。这些补丁修复了Oracle代码和Oracle产品中包含的第三方组件中的漏洞。这些补丁通常是累积性的,但每个公告仅描述自上一个关键补丁更新公告以来新增的安全补丁。
从2020年10月关键补丁更新开始,Oracle在产品风险矩阵下方列出了修复第三方组件中不可利用漏洞的更新。Oracle发布了两个版本的2020年10月关键补丁更新公告:此版本实施了关于如何报告第三方组件中不可利用漏洞的更改,而"传统"公告遵循与先前公告相同的格式。
此关键补丁更新包含以下产品系列的403个新安全补丁。
受影响产品和补丁信息
本关键补丁更新解决的安全漏洞影响以下列出的产品。产品区域显示在"补丁可用性文档"列中。
受影响产品和版本
| 产品名称 | 版本 | 补丁可用性文档 |
|---|---|---|
| 应用性能管理(APM) | 13.3.0.0, 13.4.0.0 | 企业管理器 |
| 大数据空间和图形 | 3.0之前版本 | 数据库 |
| 企业管理器基础平台 | 13.2.1.0, 13.3.0.0, 13.4.0.0 | 企业管理器 |
| Oracle数据库服务器 | 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c | 数据库 |
| Oracle WebLogic Server | 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 | 融合中间件 |
| Java SE | 7u271, 8u261, 11.0.8, 15 | Java SE |
| MySQL Server | 5.6.49及之前, 5.7.31及之前, 8.0.21及之前 | MySQL |
风险矩阵内容
风险矩阵仅列出与此公告关联的补丁新解决的安全漏洞。先前安全补丁的风险矩阵可以在之前的关键补丁更新公告和警报中找到。
安全漏洞使用CVSS 3.1版本进行评分。Oracle对每个由关键补丁更新解决的安全漏洞进行分析,但不向客户披露此安全分析的详细信息。
解决方案
由于成功攻击构成的威胁,Oracle强烈建议客户尽快应用关键补丁更新安全补丁。在应用关键补丁更新补丁之前,可能可以通过阻止攻击所需的网络协议来降低成功攻击的风险。
支持的版本
通过关键补丁更新程序发布的补丁仅提供给在终身支持策略的首要支持或扩展支持阶段涵盖的产品版本。Oracle建议客户计划产品升级,确保通过关键补丁更新程序发布的补丁可用于他们当前运行的版本。
致谢
Oracle感谢以下人员或组织向Oracle报告了此关键补丁更新解决的安全漏洞:
- 0rich1 Ant Security FG Lab
- Aaron Carreras of FireEye
- Alessandro Bosco of TIM S.p.A
- Alexander Kornbrust of Red Database Security
- 以及其他众多安全研究人员和组织
安全深度贡献者
Oracle承认为我们的安全深度计划做出贡献的人员。如果人们提供的信息、观察或建议导致在未来版本中显著修改Oracle代码或文档,但不属于关键性质,则会被确认为安全深度贡献。
关键补丁更新计划
关键补丁更新在1月、4月、7月和10月最接近17日的星期二发布。接下来的四个日期是:
- 2021年1月19日
- 2021年4月20日
- 2021年7月20日
- 2021年10月19日
数据库产品风险矩阵
此关键补丁更新包含Oracle数据库产品的29个新安全补丁,分为以下几类:
- Oracle数据库产品的19个新安全补丁
- Oracle大数据图形的1个新安全补丁
- Oracle REST数据服务的5个新安全补丁
- Oracle TimesTen内存数据库的4个新安全补丁
Oracle数据库服务器风险矩阵
此关键补丁更新包含19个新安全补丁,其中5个漏洞可以在没有身份验证的情况下远程利用。这些补丁中有一个适用于仅客户端安装。
| CVE编号 | 组件 | 协议 | 可远程利用无认证? | CVSS 3.1风险评分 | 受影响版本 |
|---|---|---|---|---|---|
| CVE-2019-12900 | 核心RDBMS (bzip2) | Oracle Net | 否 | 8.8 | 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c |
| CVE-2020-14735 | 调度程序 | 无 | 否 | 8.8 | 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c |
| CVE-2020-14734 | Oracle Text | Oracle Net | 是 | 8.1 | 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c, 19c |
Java SE风险矩阵
此关键补丁更新包含Oracle Java SE的8个新安全补丁。所有这些漏洞都可以在没有身份验证的情况下远程利用。
| CVE编号 | 组件 | 协议 | 可远程利用无认证? | CVSS 3.1风险评分 | 受影响版本 |
|---|---|---|---|---|---|
| CVE-2020-14803 | 库 | 多协议 | 是 | 5.3 | Java SE: 11.0.8, 15 |
| CVE-2020-14792 | Hotspot | 多协议 | 是 | 4.2 | Java SE: 7u271, 8u261, 11.0.8, 15 |
总结
2020年10月的Oracle关键补丁更新是一次大规模的安全更新,涵盖了Oracle产品线中的广泛漏洞。建议所有使用受影响产品的用户立即评估其系统并应用相应的安全补丁,以防范潜在的安全威胁。特别需要注意的是,多个高危漏洞可以被远程利用而不需要身份验证,这增加了安全风险的严重性。