Oracle 2020年4月关键补丁更新公告
描述
关键补丁更新是针对多个安全漏洞的补丁集合。这些补丁通常是累积性的,但每个公告仅描述自上一个关键补丁更新公告以来新增的安全补丁。因此,应查阅之前的关键补丁更新公告以获取有关早期发布的安全补丁的信息。
Oracle持续收到关于恶意利用已发布安全补丁漏洞的报告。在某些情况下,攻击之所以成功是因为目标客户未能应用可用的Oracle补丁。因此,Oracle强烈建议客户保持使用受支持的版本并无延迟地应用关键补丁更新安全补丁。
此关键补丁更新包含以下产品系列的399个新安全补丁。
受影响产品和补丁信息
此关键补丁更新解决的安全漏洞影响以下列出的产品。产品区域显示在"补丁可用文档"列中。
请点击下方"补丁可用文档"列中的链接以访问补丁可用性信息和安装说明的文档。
受影响产品和版本
| 受影响产品和版本 | 补丁可用文档 |
|---|---|
| 应用性能管理,版本12.1.0.5、13.2.0.0、13.3.0.0 | 企业管理器 |
| 应用程序服务水平管理,版本13.2.0.0、13.3.0.0 | 企业管理器 |
| 企业管理器基础平台,版本12.1.0.5、13.2.0.0、13.3.0.0 | 企业管理器 |
| Hyperion财务管理,版本11.1.2.4 | 融合中间件 |
| Hyperion财务报告,版本11.1.2.4 | 融合中间件 |
| 身份管理器连接器,版本9.0 | 融合中间件 |
| Instantis EnterpriseTrack,版本17.1-17.3 | Oracle建筑与工程套件 |
| Java高级管理控制台,版本2.16 | Java SE |
| JD Edwards EnterpriseOne工具,版本9.2 | JD Edwards |
| JD Edwards World安全,版本A9.3、A9.3.1、A9.4 | JD Edwards |
| MICROS Relate CRM软件,版本11.4 | 零售应用 |
| MySQL客户端,版本5.6.47及之前、5.7.29及之前、8.0.18及之前 | MySQL |
| MySQL集群,版本7.3.28及之前、7.4.27及之前、7.5.17及之前、7.6.13及之前、8.0.19及之前 | MySQL |
| MySQL连接器,版本5.1.48及之前、8.0.19及之前 | MySQL |
| MySQL企业监控器,版本4.0.11.5331及之前、8.0.18.1217及之前 | MySQL |
| MySQL服务器,版本5.6.47及之前、5.7.29及之前、8.0.19及之前 | MySQL |
| MySQL工作台,版本8.0.19及之前 | MySQL |
| Oracle访问管理器,版本11.1.2.3.0、12.2.1.3.0 | 融合中间件 |
| Oracle Agile PLM,版本9.3.3、9.3.5、9.3.6 | Oracle供应链产品 |
| Oracle API网关,版本11.1.2.4.0 | 融合中间件 |
| Oracle Application Express,版本19.2之前 | 数据库 |
| Oracle应用程序测试套件,版本13.2.0.1、13.3.0.1 | 企业管理器 |
| Oracle银行企业催收,版本2.7.0、2.8.0 | Oracle银行平台 |
| Oracle银行企业授信,版本2.7.0、2.8.0 | Oracle银行平台 |
| Oracle银行企业产品制造,版本2.7.0、2.8.0 | Oracle银行平台 |
| Oracle银行平台,版本2.4.0、2.4.1、2.5.0、2.6.0、2.6.1、2.6.2、2.7.0、2.7.1、2.9.0 | Oracle银行平台 |
| Oracle大数据发现,版本1.6 | 融合中间件 |
| Oracle商业智能企业版,版本5.5.0.0.0、11.1.1.9.0、12.2.1.3.0、12.2.1.4.0 | 融合中间件 |
| Oracle业务流程管理套件,版本12.2.1.4.0 | 融合中间件 |
| Oracle Coherence,版本3.7.1.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0 | 融合中间件 |
| Oracle通信ASAP Cartridges,版本7.2、7.3 | Oracle通信ASAP Cartridges |
| Oracle通信日历服务器,版本8.0.0.2.0、8.0.0.3.0 | Oracle通信日历服务器 |
| Oracle通信融合应用服务器-服务控制器,版本6.1 | Oracle通信融合应用服务器-服务控制器 |
| Oracle通信直径信令路由器(DSR),版本8.0.0、8.1.0、8.2.0、8.2.1 | Oracle通信直径信令路由器 |
| Oracle通信元素管理器,版本8.0.0、8.1.0、8.1.1、8.2.0 | Oracle通信元素管理器 |
| Oracle通信演进通信应用服务器,版本7.1 | Oracle通信演进通信应用服务器 |
| Oracle通信消息服务器,版本8.0.2、8.1.0 | Oracle通信消息服务器 |
| Oracle通信操作监控器,版本3.4.0、4.0.0、4.1.0、4.2.0、4.3.0 | Oracle通信操作监控器 |
| Oracle通信服务代理,版本6.0、6.1 | Oracle通信服务代理 |
| Oracle通信服务网关,版本6.0、6.1 | Oracle通信服务网关 |
| Oracle通信会话报告管理器,版本8.0.0、8.1.0、8.1.1、8.2.0 | Oracle通信会话报告管理器 |
| Oracle通信会话路由管理器,版本8.0.0、8.1.0、8.1.1、8.2.0 | Oracle通信会话路由管理器 |
| Oracle通信统一库存管理,版本7.3.0、7.4.0 | Oracle通信统一库存管理 |
| Oracle通信WebRTC会话控制器,版本7.2 | Oracle通信WebRTC会话控制器 |
| Oracle配置器,版本12.1、12.2 | Oracle供应链产品 |
| Oracle数据库服务器,版本11.2.0.4、12.1.0.2、12.2.0.1、18c、19c | 数据库 |
| Oracle电子商务套件,版本12.1.1-12.1.3、12.2.3-12.2.9 | 电子商务套件 |
| Oracle Endeca信息发现集成器,版本3.2.0 | 融合中间件 |
| Oracle Endeca服务器,版本7.7.0 | 融合中间件 |
| Oracle金融服务分析应用基础设施,版本8.0.6-8.0.9 | Oracle金融服务分析应用基础设施 |
| Oracle金融服务资产负债管理,版本8.0.6、8.0.7 | Oracle金融服务资产负债管理 |
| Oracle金融服务资产负债表规划,版本8.0.8 | Oracle金融服务资产负债表规划 |
| Oracle金融服务数据基础,版本8.0.6-8.0.9 | Oracle金融服务数据基础 |
| Oracle金融服务流动性风险管理存款保险计算,版本8.0.7、8.0.8 | Oracle金融服务流动性风险管理存款保险计算 |
| Oracle金融服务资金转移定价,版本8.0.6、8.0.7 | Oracle金融服务资金转移定价 |
| Oracle金融服务对冲管理和IFRS估值,版本8.0.6-8.0.8 | Oracle金融服务对冲管理和IFRS估值 |
| Oracle金融服务流动性风险管理,版本8.0.6 | Oracle金融服务流动性风险管理 |
| Oracle金融服务流动性风险测量和管理,版本8.0.7、8.0.8 | Oracle金融服务流动性风险测量和管理 |
| Oracle金融服务贷款损失预测和准备金,版本8.0.6-8.0.8 | Oracle金融服务贷款损失预测和准备金 |
| Oracle金融服务市场风险测量和管理,版本8.0.6、8.0.8 | Oracle金融服务市场风险测量和管理 |
| Oracle金融服务价格创造和发现,版本8.0.7 | Oracle金融服务价格创造和发现 |
| Oracle金融服务盈利能力管理,版本8.0.6、8.0.7 | Oracle金融服务盈利能力管理 |
| Oracle金融服务收入管理和计费分析,版本2.6、2.7、2.8 | Oracle金融服务收入管理和计费分析 |
| Oracle FLEXCUBE核心银行,版本4.0 | Oracle金融服务应用 |
| Oracle FLEXCUBE私人银行,版本12.0、12.1 | Oracle金融服务应用 |
| Oracle融合中间件MapViewer,版本12.2.1.3.0 | 融合中间件 |
| Oracle全局生命周期管理NextGen OUI框架,版本12.2.1.3.0、12.2.1.4.0、13.9.4.2.2 | 融合中间件 |
| Oracle全局生命周期管理OPatch,版本11.2.0.3.23之前、12.2.0.1.19之前、13.9.4.2.1之前 | 全局生命周期管理 |
| Oracle GraalVM企业版,版本19.3.1、20.0.0 | Oracle GraalVM企业版 |
| Oracle健康科学信息管理器,版本3.0 | 健康科学 |
| Oracle医疗数据存储库,版本7.0 | 健康科学 |
| Oracle酒店报告和分析,版本9.1.0 | Oracle酒店报告和分析 |
| Oracle HTTP服务器,版本11.1.1.9.0 | 融合中间件 |
| Oracle内存性能驱动规划,版本12.1、12.2 | Oracle供应链产品 |
| Oracle保险会计分析器,版本8.0.6-8.0.9 | Oracle保险会计分析器 |
| Oracle Java SE,版本7u251、8u241、11.0.6、14 | Java SE |
| Oracle Java SE嵌入式,版本8u241 | Java SE |
| Oracle知识,版本8.6.0-8.6.3 | Oracle知识 |
| Oracle托管文件传输,版本12.2.1.3.0、12.2.1.4.0 | 融合中间件 |
| Oracle Outside In技术,版本8.5.4 | 融合中间件 |
| Oracle真实用户体验洞察,版本13.1.2.1、13.2.3.1、13.3.1.0 | 企业管理器 |
| Oracle零售高级库存规划,版本14.0、15.0、16.0 | 零售应用 |
| Oracle零售后台办公,版本14.1 | 零售应用 |
| Oracle零售中央办公,版本14.1 | 零售应用 |
| Oracle零售客户管理和细分基础,版本18.0 | 零售应用 |
| Oracle零售商品管理系统,版本16.0 | 零售应用 |
| Oracle零售订单代理,版本15.0、16.0、18.0、19.0 | 零售应用 |
| Oracle零售销售点,版本14.1 | 零售应用 |
| Oracle零售预测应用服务器,版本15.0.3、16.0.3 | 零售应用 |
| Oracle零售退货管理,版本14.1 | 零售应用 |
| Oracle零售门店库存管理,版本16.0 | 零售应用 |
| Oracle零售Xstore销售点,版本7.1、15.0、16.0、17.0、18.0、18.0.1 | 零售应用 |
| Oracle SD-WAN Edge,版本7.3、8.0、8.1、8.2 | Oracle SD-WAN Edge |
| Oracle安全备份,版本18.1之前 | Oracle安全备份 |
| Oracle SOA套件,版本12.2.1.3.0、12.2.1.4.0 | 融合中间件 |
| Oracle Solaris,版本10、11 | 系统 |
| Oracle运输管理,版本6.3.7、6.4.2、6.4.3 | Oracle供应链产品 |
| Oracle统一目录,版本12.2.1.3.0、12.2.1.4.0 | 融合中间件 |
| Oracle实用工具框架,版本2.2.0、4.2.0.2、4.2.0.3、4.3.0.2-4.3.0.6、4.4.0.0、4.4.0.2 | Oracle实用工具应用 |
| Oracle实用工具网络管理系统,版本1.12.0.3、2.3.0.1、2.3.0.2、2.4.0.0 | Oracle实用工具应用 |
| Oracle VM VirtualBox,版本5.2.40之前、6.0.20之前、6.1.6之前 | 虚拟化 |
| Oracle WebCenter Portal,版本11.1.1.9.0、12.2.1.3.0、12.2.1.4.0 | 融合中间件 |
| Oracle WebCenter Sites,版本12.2.1.3.0、12.2.1.4.0 | 融合中间件 |
| Oracle WebLogic服务器,版本10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0 | 融合中间件 |
| Oracle ZFS存储设备工具包,版本8.8 | 系统 |
| OSS支持工具,版本20.0、20.1 | 支持工具 |
| PeopleSoft企业CS校园社区,版本9.2 | PeopleSoft |
| PeopleSoft企业HCM缺勤管理,版本9.2 | PeopleSoft |
| PeopleSoft企业HRMS,版本9.2 | PeopleSoft |
| PeopleSoft企业PeopleTools,版本8.56、8.57、8.58 | PeopleSoft |
| PeopleSoft企业SCM采购,版本9.2 | PeopleSoft |
| Primavera网关,版本16.2.0-16.2.11、17.12.0-17.12.6、18.8.0-18.8.8、19.12.0 | Oracle建筑与工程套件 |
| Primavera P6企业项目组合管理,版本16.2.0.0-16.2.19.3、17.12.0.0-17.12.17.0、18.8.0.0-18.8.18.0、19.12.1.0-19.12.3.0、20.1.0.0-20.2.0.0 | Oracle建筑与工程套件 |
| Primavera Unifier,版本16.1、16.2、17.7-17.12、18.8、19.12 | Oracle建筑与工程套件 |
| Siebel应用,版本20.2及之前 | Siebel |
| StorageTek磁带分析软件工具,版本2.3.0 | 系统 |
风险矩阵内容
风险矩阵仅列出与此公告关联的补丁新解决的安全漏洞。之前安全补丁的风险矩阵可以在之前的关键补丁更新公告和警报中找到。
此关键补丁更新中解决的几个漏洞影响多个产品。每个漏洞由CVE#标识,这是漏洞的唯一标识符。影响多个产品的漏洞将在所有风险矩阵中以相同的CVE#出现。以斜体显示的CVE#表示此漏洞影响不同的产品,但也对列出斜体CVE#的产品产生影响。
安全漏洞使用CVSS 3.0版进行评分。
解决方法
由于成功攻击构成的威胁,Oracle强烈建议客户尽快应用关键补丁更新安全补丁。在应用关键补丁更新补丁之前,可能可以通过阻止攻击所需的网络协议来降低成功攻击的风险。对于需要某些特权或访问某些包的攻击,从不需要这些特权的用户中删除特权或访问包的能力可能有助于降低成功攻击的风险。这两种方法都可能破坏应用程序功能,因此Oracle强烈建议客户在非生产系统上测试更改。这两种方法都不应被视为长期解决方案,因为它们都不能纠正根本问题。
关键补丁更新支持的产品和版本
通过关键补丁更新程序发布的补丁仅提供给在终身支持策略的首要支持或扩展支持阶段覆盖的产品版本。Oracle建议客户计划产品升级,以确保通过关键补丁更新程序发布的补丁可用于他们当前运行的版本。
不在首要支持或扩展支持下的产品版本未测试是否存在此关键补丁更新解决的安全漏洞。但是,受影响版本的早期版本很可能也受这些漏洞的影响。因此,Oracle建议客户升级到支持的版本。
致谢声明
以下人员或组织向Oracle报告了此关键补丁更新解决的安全漏洞:(此处省略了详细的致谢名单)
安全深度贡献者
Oracle感谢为我们的安全深度计划做出贡献的人员。
在线存在安全贡献者
Oracle感谢为我们的在线存在安全计划做出贡献的人员。
关键补丁更新时间表
关键补丁更新在1月、4月、7月和10月最接近17日的星期二发布。接下来的四个日期是:
- 2020年7月14日
- 2020年10月20日
- 2021年1月19日
- 2021年4月20日
修改历史
(此处省略了详细的修改历史记录)
各产品风险矩阵
此关键补丁更新包含针对不同Oracle产品系列的新安全补丁,包括:
- Oracle数据库产品:10个新安全补丁
- Oracle通信应用:39个新安全补丁
- Oracle建筑与工程:12个新安全补丁
- Oracle电子商务套件:74个新安全补丁
- Oracle企业管理器:7个新安全补丁
- Oracle金融服务应用:35个新安全补丁
- Oracle融合中间件:52个新安全补丁
- Oracle Java SE:15个新安全补丁
- Oracle MySQL:45个新安全补丁
- Oracle PeopleSoft:14个新安全补丁
- Oracle零售应用:27个新安全补丁
- Oracle虚拟化:20个新安全补丁
每个风险矩阵详细列出了CVE编号、受影响组件、协议、CVSS评分和受影响版本等信息。