Oracle 2021年7月关键补丁更新公告
描述
关键补丁更新是针对多个安全漏洞的补丁集合。这些补丁修复了Oracle代码和Oracle产品中包含的第三方组件中的漏洞。这些补丁通常是累积性的,但每个公告仅描述自上一个关键补丁更新公告以来新增的安全补丁。
Oracle持续收到关于恶意利用已发布安全补丁漏洞的报告。在某些情况下,攻击之所以成功是因为目标客户未能应用可用的Oracle补丁。因此,Oracle强烈建议客户保持使用受支持的版本并无延迟地应用关键补丁更新安全补丁。
此关键补丁更新包含以下产品系列的342个新安全补丁。
受影响产品和补丁信息
此关键补丁更新解决的安全漏洞影响以下列出的产品。产品区域显示在"补丁可用文档"列中。
受影响产品和版本
| 受影响产品和版本 | 补丁可用文档 |
|---|---|
| Big Data Spatial and Graph, 2.0之前版本, 23.1之前版本 | Database |
| Enterprise Manager Base Platform, 版本13.4.0.0 | Enterprise Manager |
| Essbase, 版本21.2 | Database |
| MySQL Server, 5.7.34及之前版本, 8.0.25及之前版本 | MySQL |
| Oracle Database Server, 版本12.1.0.2, 12.2.0.1, 19c | Database |
| Oracle Java SE, 版本7u301, 8u291, 11.0.11, 16.0.1 | Java SE |
| Oracle WebLogic Server, 版本10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 | Fusion Middleware |
风险矩阵内容
风险矩阵仅列出与此公告关联的补丁新解决的安全漏洞。先前安全补丁的风险矩阵可在先前的关键补丁更新公告和警报中找到。
安全漏洞使用CVSS 3.1版本进行评分。Oracle对每个关键补丁更新解决的安全漏洞进行分析,但不向客户披露此安全分析的详细信息。
解决方案
由于成功攻击构成的威胁,Oracle强烈建议客户尽快应用关键补丁更新安全补丁。在应用关键补丁更新补丁之前,可能可以通过阻止攻击所需的网络协议来降低成功攻击的风险。
关键补丁更新支持的产品和版本
通过关键补丁更新程序发布的补丁仅适用于终身支持策略的Premier Support或Extended Support阶段覆盖的产品版本。
致谢
Oracle感谢以下人员和组织向Oracle报告了此关键补丁更新解决的安全漏洞:
- 0xfoxone: CVE-2021-2452
- Andrej Simko of Accenture: CVE-2021-2436
- Anonymous researcher working with Trend Micro’s Zero Day Initiative: CVE-2021-2389, CVE-2021-2390, CVE-2021-2429
- 完整列表请参考原始文档
关键补丁更新计划
关键补丁更新在1月、4月、7月和10月最接近17日的星期二发布。接下来的四个日期是:
- 2021年10月19日
- 2022年1月18日
- 2022年4月19日
- 2022年7月19日
修改历史
| 日期 | 备注 |
|---|---|
| 2021年9月3日 | Rev 7. 移除了CVE-2019-17195补丁的额外CVE |
| 2021年8月18日 | Rev 6. 更新了Outside In Technology的CVSS分数 |
| 2021年7月20日 | Rev 1. 初始发布 |
数据库产品风险矩阵
此关键补丁更新包含27个新的Oracle数据库产品安全补丁,分为以下几类:
- 16个新的Oracle数据库产品安全补丁
- 2个新的Oracle Big Data Graph安全补丁
- 9个新的Oracle Essbase安全补丁
Oracle数据库服务器风险矩阵
此关键补丁更新包含16个新的安全补丁,外加下面注明的额外第三方补丁。其中1个漏洞可以在没有身份验证的情况下远程利用,即可以通过网络利用而不需要用户凭据。其中1个补丁适用于仅客户端安装。
| CVE编号 | 组件 | 所需包和/或权限 | 协议 | 无需验证可远程利用? | 基础分数 | 受影响的支持版本 | 备注 |
|---|---|---|---|---|---|---|---|
| CVE-2021-2351 | Advanced Networking Option | 无 | Oracle Net | 是 | 8.3 | 12.1.0.2, 12.2.0.1, 19c | 参见注1 |
| CVE-2021-2328 | Oracle Text | Create Any Procedure, Alter Any Table | Oracle Net | 否 | 7.2 | 12.1.0.2, 12.2.0.1, 19c | |
| CVE-2021-2329 | Oracle XML DB | Create Any Procedure, Create Public Synonym | Oracle Net | 否 | 7.2 | 12.1.0.2, 12.2.0.1, 19c |
注1:2021年7月关键补丁更新引入了许多本地网络加密更改以处理漏洞CVE-2021-2351并防止使用较弱密码。客户应查看:“2021年7月关键补丁更新中的本地网络加密更改”(文档ID 2791571.1)。
其他产品风险矩阵
此关键补丁更新还包含以下产品的安全补丁:
- Oracle Commerce (11个新安全补丁)
- Oracle Communications Applications (33个新安全补丁)
- Oracle E-Business Suite (17个新安全补丁)
- Oracle Fusion Middleware (48个新安全补丁)
- Oracle Java SE (6个新安全补丁)
- Oracle MySQL (41个新安全补丁)
- 以及其他Oracle产品系列
每个产品系列都有详细的风险矩阵,列出了CVE编号、受影响组件、协议、CVSS评分和受影响版本等信息。
总结
2021年7月的Oracle关键补丁更新解决了多个产品系列中的342个安全漏洞,其中许多漏洞具有较高的CVSS评分且可远程利用而无需身份验证。Oracle强烈建议所有受影响产品的用户尽快应用这些安全补丁,以保护其系统免受潜在攻击。