Oracle关键补丁更新公告 - 2022年1月
描述
关键补丁更新是针对多个安全漏洞的补丁集合。这些补丁解决了Oracle代码和Oracle产品中包含的第三方组件中的漏洞。这些补丁通常是累积性的,但每个公告仅描述自上一个关键补丁更新公告以来新增的安全补丁。因此,应查阅之前的关键补丁更新公告以获取有关早期发布的安全补丁的信息。
Oracle持续定期收到试图恶意利用Oracle已发布安全补丁的漏洞的报告。在某些情况下,据报道攻击者已成功,因为目标客户未能应用可用的Oracle补丁。因此,Oracle强烈建议客户保持在积极支持的版本上,并立即应用关键补丁更新安全补丁。
此关键补丁更新包含以下产品系列的497个新安全补丁。请注意,总结此关键补丁更新内容和其他Oracle软件安全保证活动的MOS说明位于[2022年1月关键补丁更新:执行摘要和分析]。
请注意,2021年12月10日,Oracle发布了针对Apache Log4j漏洞CVE-2021-44228和CVE-2021-45046的安全警报。如果客户尚未查看该警报,应进行查阅。
受影响产品和补丁信息
此关键补丁更新解决的安全漏洞影响以下列出的产品。产品区域显示在"补丁可用文档"列中。
请点击下方"补丁可用文档"列中的链接以访问补丁可用性信息和安装说明的文档。
受影响产品和版本
| 受影响产品和版本 | 补丁可用文档 |
|---|---|
| Agile产品生命周期管理集成包 for Oracle E-Business Suite, 版本3.6 | Oracle供应链产品 |
| 应用性能管理, 版本13.4.1.0, 13.5.1.0 | 企业管理器 |
| 大数据空间和图, 23.1之前版本 | 数据库 |
| 企业管理器基础平台, 版本13.4.0.0, 13.5.0.0 | 企业管理器 |
| 企业管理器运维中心, 版本12.4.0.0 | 企业管理器 |
| Fujitsu M10-1, M10-4, M10-4S, M12-1, M12-2, M12-2S服务器, XCP2410之前版本, XCP3110之前版本 | 系统 |
| Instantis EnterpriseTrack, 版本17.1, 17.2, 17.3 | Oracle建筑与工程套件 |
| JD Edwards EnterpriseOne工具, 9.2.6.1之前版本 | JD Edwards |
| MySQL集群, 7.4.34及之前版本, 7.5.24及之前版本, 7.6.20及之前版本, 8.0.27及之前版本 | MySQL |
| MySQL连接器, 8.0.27及之前版本 | MySQL |
| MySQL服务器, 5.7.36及之前版本, 8.0.27及之前版本 | MySQL |
| MySQL工作台, 8.0.27及之前版本 | MySQL |
| Oracle访问管理器, 版本11.1.2.3.0, 12.2.1.3.0, 12.2.1.4.0 | 融合中间件 |
风险矩阵内容
风险矩阵仅列出与此公告关联的补丁新解决的安全漏洞。之前安全补丁的风险矩阵可以在之前的关键补丁更新公告和警报中找到。
安全漏洞使用CVSS 3.1版本进行评分。Oracle对每个由关键补丁更新解决的安全漏洞进行分析。Oracle不会向客户披露此安全分析的详细信息,但生成的风险矩阵和相关文档提供了有关漏洞类型、利用所需条件以及成功利用的潜在影响的信息。
解决方法
由于成功攻击构成的威胁,Oracle强烈建议客户尽快应用关键补丁更新安全补丁。在应用关键补丁更新补丁之前,可能可以通过阻止攻击所需的网络协议来降低成功攻击的风险。
跳过的关键补丁更新
Oracle强烈建议客户尽快应用安全补丁。对于跳过一个或多个关键补丁更新并关注在此关键补丁更新中未宣布安全补丁的产品的客户,请查阅之前的关键补丁更新公告以确定适当的操作。
关键补丁更新支持的产品和版本
通过关键补丁更新程序发布的补丁仅提供给在终身支持政策的Premier支持或Extended支持阶段覆盖的产品版本。Oracle建议客户计划产品升级,以确保通过关键补丁更新程序发布的补丁可用于他们当前运行的版本。
致谢
Oracle感谢以下人员或组织向Oracle报告了此关键补丁更新解决的安全漏洞:(名单略)
安全深度贡献者
Oracle感谢为我们的安全深度计划做出贡献的人员。(名单略)
在线存在安全贡献者
Oracle感谢为我们的在线存在安全计划做出贡献的人员。(名单略)
关键补丁更新计划
关键补丁更新在1月、4月、7月和10月最接近17日的星期二发布。接下来的四个日期是:
- 2022年4月19日
- 2022年7月19日
- 2022年10月18日
- 2023年1月17日
产品风险矩阵
此关键补丁更新包含多个产品系列的安全补丁,包括:
Oracle数据库产品
- 4个新的Oracle数据库产品安全补丁
- 1个新的Oracle航空公司数据模型安全补丁
- 2个新的Oracle大数据图安全补丁
- 1个新的Oracle通信数据模型安全补丁
- 4个新的Oracle Essbase安全补丁
- 3个新的Oracle GoldenGate安全补丁
- 2个新的Oracle图服务器和客户端安全补丁
- 1个新的Oracle NoSQL数据库安全补丁
- 2个新的Oracle REST数据服务安全补丁
- 2个新的Oracle安全备份安全补丁
- 1个新的Oracle空间工作室安全补丁
- 5个新的Oracle TimesTen内存数据库安全补丁
Oracle融合中间件
此关键补丁更新包含39个新的Oracle融合中间件安全补丁。其中35个漏洞可能无需身份验证即可远程利用。
Oracle Java SE
此关键补丁更新包含18个新的Oracle Java SE安全补丁。所有这些漏洞可能无需身份验证即可远程利用。
Oracle MySQL
此关键补丁更新包含78个新的MySQL安全补丁。其中3个漏洞可能无需身份验证即可远程利用。
修改历史
| 日期 | 说明 |
|---|---|
| 2024年12月23日 | Rev 7. 更正了WebLogic错误的CVE致谢 |
| 2022年3月14日 | Rev 6. 更新了版本详情和额外的CVE |
| 2022年1月31日 | Rev 5. 更新了Oracle HTTP服务器和Oracle业务活动监控的版本详情 |
| 2022年1月27日 | Rev 4. 零售矩阵版本变更并添加了CVE-2022-21353的致谢 |
| 2022年1月24日 | Rev 3. CVE-2022-21392的CVSS更新并添加了CVE-2022-21346的致谢 |
| 2022年1月18日 | Rev 2. 更新了Siebel应用程序版本并添加了几个致谢名称 |
| 2022年1月18日 | Rev 1. 初始发布 |
此关键补丁更新是Oracle定期安全维护周期的一部分,旨在帮助客户保护其Oracle产品部署免受已知安全威胁。