Oracle 关键补丁更新咨询 - 2022年4月
描述
关键补丁更新是针对多个安全漏洞的补丁集合。这些补丁解决了Oracle代码和Oracle产品中包含的第三方组件中的漏洞。这些补丁通常是累积性的,但每个咨询仅描述自上一个关键补丁更新咨询以来新增的安全补丁。因此,应查阅之前的关键补丁更新咨询以获取有关早期发布的安全补丁的信息。
Oracle持续定期收到关于恶意利用Oracle已发布安全补丁的漏洞的报告。在某些情况下,据报道攻击者已成功利用这些漏洞,原因是目标客户未能应用可用的Oracle补丁。因此,Oracle强烈建议客户保持使用受支持的版本,并立即应用关键补丁更新安全补丁。
此关键补丁更新包含以下产品系列的520个新安全补丁。请注意,总结此关键补丁更新内容和其他Oracle软件安全保障活动的MOS说明位于2022年4月关键补丁更新:执行摘要和分析。
受影响产品和补丁信息
此关键补丁更新解决的安全漏洞影响以下列出的产品。产品区域显示在"补丁可用文档"列中。
请点击下方"补丁可用文档"列中的链接以访问补丁可用性信息和安装说明的文档。
| 受影响产品和版本 | 补丁可用文档 |
|---|---|
| Engineered Systems Utilities, 版本 12.1.0.2, 19c, 21c | Oracle Autonomous Health Framework |
| Enterprise Manager Base Platform, 版本 13.4.0.0, 13.5.0.0 | Enterprise Manager |
| Enterprise Manager for Peoplesoft, 版本 13.4.1.1, 13.5.1.1 | Enterprise Manager |
| …(完整产品列表) | … |
风险矩阵内容
风险矩阵仅列出与此咨询关联的补丁新解决的安全漏洞。之前安全补丁的风险矩阵可在之前的关键补丁更新咨询和警报中找到。本文档中提供的风险矩阵的英文文本版本可在此处找到。
此关键补丁更新中解决的几个漏洞影响多个产品。每个漏洞由CVE#标识,这是其唯一标识符。影响多个产品的漏洞将在所有风险矩阵中以相同的CVE#出现。以斜体显示的CVE#表示此漏洞影响不同的产品,但也对列出斜体CVE#的产品产生影响。
安全漏洞使用CVSS 3.1版本进行评分(请参阅Oracle CVSS评分以了解Oracle如何应用CVSS 3.1版本)。
Oracle对每个由关键补丁更新解决的安全漏洞进行分析。Oracle不会向客户披露此安全分析的详细信息,但由此产生的风险矩阵和相关文档提供了有关漏洞类型、利用所需条件以及成功利用的潜在影响的信息。Oracle提供这些信息的部分原因是客户可以根据其产品使用的具体情况自行进行风险分析。有关更多信息,请参阅Oracle漏洞披露政策。
解决方法
由于成功攻击构成的威胁,Oracle强烈建议客户尽快应用关键补丁更新安全补丁。在应用关键补丁更新补丁之前,可能可以通过阻止攻击所需的网络协议来降低成功攻击的风险。对于需要某些权限或访问某些软件包的攻击,从不需要这些权限的用户中删除权限或访问软件包的能力可能有助于降低成功攻击的风险。这两种方法都可能破坏应用程序功能,因此Oracle强烈建议客户在非生产系统上测试更改。这两种方法都不应被视为长期解决方案,因为它们都不能纠正根本问题。
跳过的关键补丁更新
Oracle强烈建议客户尽快应用安全补丁。对于跳过了一个或多个关键补丁更新并关注在此关键补丁更新中未宣布安全补丁的产品的客户,请查阅之前的关键补丁更新咨询以确定适当的操作。
关键补丁更新支持的产品和版本
通过关键补丁更新程序发布的补丁仅提供给在生命周期支持政策的Premier Support或Extended Support阶段覆盖的产品版本。Oracle建议客户计划产品升级,以确保通过关键补丁更新程序发布的补丁可用于他们当前运行的版本。
未处于Premier Support或Extended Support下的产品版本不会测试此关键补丁更新解决的漏洞的存在。但是,受影响版本的早期版本很可能也受这些漏洞的影响。因此,Oracle建议客户升级到受支持的版本。
数据库、Fusion Middleware和Oracle Enterprise Manager产品根据My Oracle Support说明209768.1中解释的软件错误修正支持政策进行修补。请查阅技术支持政策以获取有关支持政策和支持阶段的进一步指南。
致谢
以下个人或组织向Oracle报告了此关键补丁更新解决的安全漏洞:
- 4ra1n: CVE-2022-21441
- Adi Farshteindiker: CVE-2022-21487, CVE-2022-21488
- …(完整致谢列表)
深度安全贡献者
Oracle感谢为我们的深度安全计划做出贡献的人员(请参阅FAQ)。如果人员提供的信息、观察或建议导致在未来版本中显著修改Oracle代码或文档,但不属于在关键补丁更新中分发的关键性质,则会被认可为深度安全贡献。
在此关键补丁更新中,Oracle认可以下人员对Oracle深度安全计划的贡献:
- Charles Korn
- John Jiang of Tencent.com
- …(完整列表)
在线存在安全贡献者
Oracle感谢为我们的在线存在安全计划做出贡献的人员(请参阅FAQ)。如果人员提供的信息、观察或建议导致对Oracle在线外部面向系统进行重大修改的安全相关问题,则会被认可为对Oracle在线存在安全的贡献。
本季度,Oracle认可以下人员对Oracle在线存在安全计划的贡献:
- Aakash Adhikari (dark_haxor)
- Abdiwahab Ahmed
- …(完整列表)
关键补丁更新时间表
关键补丁更新在1月、4月、7月和10月的第三个星期二发布。接下来的四个日期是:
- 2022年7月19日
- 2022年10月18日
- 2023年1月17日
- 2023年4月18日
参考
- Oracle关键补丁更新、安全警报和公告
- 关键补丁更新 - 2022年4月文档地图
- Oracle关键补丁更新和安全警报 - 常见问题解答
- 风险矩阵定义
- Oracle使用通用漏洞评分系统(CVSS)
- 风险矩阵的英文文本版本
- 风险矩阵的CVRF XML版本
- 风险矩阵的CSAF JSON版本
- CVE到咨询/警报的映射
- Oracle生命周期支持政策
- JEP 290参考阻止列表过滤器
修改历史
| 日期 | 说明 |
|---|---|
| 2024年12月23日 | Rev 9. 更新了ZFS的附加CVE CVE-2021-39275 |
| 2024年9月20日 | Rev 8. CVE-2022-21445的产品名称和详细信息更改 |
| 2022年6月16日 | Rev 7. 添加了CVE-2022-21438的致谢 |
| …(完整修改历史) | … |