Oracle 2022年7月关键补丁更新公告

描述

关键补丁更新是针对多个安全漏洞的补丁集合。这些补丁修复了Oracle代码和Oracle产品中包含的第三方组件中的漏洞。这些补丁通常是累积性的，但每个公告仅描述自上一个关键补丁更新公告以来新增的安全补丁。因此，应查阅之前的关键补丁更新公告以获取有关早期发布的安全补丁的信息。

Oracle持续定期收到关于恶意利用Oracle已发布安全补丁的漏洞的报告。在某些情况下，据报道攻击者已成功利用，原因是目标客户未能应用可用的Oracle补丁。因此，Oracle强烈建议客户保持在主动支持的版本上，并立即应用关键补丁更新安全补丁。

此关键补丁更新包含以下产品系列的349个新安全补丁。请注意，总结此关键补丁更新内容和其他Oracle软件安全保障活动的MOS说明位于[2022年7月关键补丁更新：执行摘要和分析]。

自2022年4月关键补丁更新发布以来，Oracle已发布了针对Oracle电子商务套件CVE-2022-21500的安全警报（2022年5月19日）。强烈建议客户应用2022年7月关键补丁更新以获取Oracle电子商务套件，其中包括此警报的补丁以及其他补丁。

受影响产品和补丁信息

此关键补丁更新解决的安全漏洞影响以下列出的产品。产品区域显示在"补丁可用文档"列中。

请点击下方"补丁可用文档"列中的链接以访问补丁可用性信息和安装说明的文档。

受影响产品和版本

风险矩阵内容

风险矩阵仅列出与此公告关联的补丁新解决的安全漏洞。之前安全补丁的风险矩阵可在之前的关键补丁更新公告和警报中找到。本文档中提供的风险矩阵的英文文本版本在此处。

此关键补丁更新中解决的几个漏洞影响多个产品。每个漏洞由CVE#标识，这是其唯一标识符。影响多个产品的漏洞将在所有风险矩阵中以相同的CVE#出现。以斜体显示的CVE#表示此漏洞影响不同的产品，但也对列出斜体CVE#的产品产生影响。

安全漏洞使用CVSS 3.1版进行评分（参见Oracle CVSS评分了解Oracle如何应用CVSS 3.1版）。

Oracle对关键补丁更新解决的每个安全漏洞进行分析。Oracle不会向客户披露此安全分析的详细信息，但生成的风险矩阵和相关文档提供了有关漏洞类型、利用所需条件以及成功利用的潜在影响的信息。Oracle提供此信息的部分原因是客户可以根据其产品使用的具体情况自行进行风险分析。有关更多信息，请参阅Oracle漏洞披露政策。

Oracle在产品的风险矩阵下方列出解决第三方组件中不可利用漏洞的更新。

风险矩阵中的协议意味着其所有安全变体（如果适用）也受到影响。例如，如果HTTP被列为受影响协议，则意味着HTTPS（如果适用）也受到影响。仅当协议的安全变体是唯一受影响的变体时，才会在风险矩阵中列出，例如，对于SSL和TLS中的漏洞，通常会列出HTTPS。

解决方法

由于成功攻击构成的威胁，Oracle强烈建议客户尽快应用关键补丁更新安全补丁。在应用关键补丁更新补丁之前，可能可以通过阻止攻击所需的网络协议来降低成功攻击的风险。对于需要某些权限或访问某些软件包的攻击，从不需要这些权限的用户中删除权限或访问软件包的能力可能有助于降低成功攻击的风险。这两种方法都可能破坏应用程序功能，因此Oracle强烈建议客户在非生产系统上测试更改。这两种方法都不应被视为长期解决方案，因为它们都不能纠正根本问题。

跳过的关键补丁更新

Oracle强烈建议客户尽快应用安全补丁。对于跳过了一个或多个关键补丁更新并关注在此关键补丁更新中未宣布安全补丁的产品的客户，请查阅之前的关键补丁更新公告以确定适当的操作。

关键补丁更新支持的产品和版本

通过关键补丁更新程序发布的补丁仅提供给在终身支持政策的Premier Support或Extended Support阶段覆盖的产品版本。Oracle建议客户计划产品升级，以确保通过关键补丁更新程序发布的补丁可用于他们当前运行的版本。

未处于Premier Support或Extended Support的产品版本不会测试此关键补丁更新解决的漏洞的存在。但是，早期版本的受影响版本很可能也受这些漏洞的影响。因此，Oracle建议客户升级到支持的版本。

数据库、Fusion Middleware和Oracle Enterprise Manager产品根据My Oracle Support说明209768.1中解释的软件错误纠正支持政策进行修补。请查阅技术支持政策以获取有关支持政策和支持阶段的进一步指南。

致谢

以下个人或组织向Oracle报告了此关键补丁更新解决的安全漏洞：

4ra1n: CVE-2022-21557, CVE-2022-21560, CVE-2022-21562, CVE-2022-21564 Ahmed Alwardani: CVE-2022-21568 …（完整致谢列表）

深度安全贡献者

Oracle感谢为我们的深度安全计划做出贡献的人员（参见FAQ）。如果人员提供的信息、观察或建议导致在未来版本中对Oracle代码或文档进行重大修改，但不属于关键性质以至于在关键补丁更新中分发，则他们因深度安全贡献而受到认可。

在此关键补丁更新中，Oracle认可以下人员对Oracle深度安全计划的贡献：

Cheng Xu Dennis Katz …（完整贡献者列表）

在线存在安全贡献者

Oracle感谢为我们的在线存在安全计划做出贡献的人员（参见FAQ）。如果人员提供的信息、观察或建议导致对Oracle在线外部面向系统进行重大修改的安全相关问题，则他们因对Oracle在线存在的贡献而受到认可。

本季度，Oracle认可以下人员对Oracle在线存在安全计划的贡献：

Ahmed Hassan Ekin Şiar Bayer …（完整贡献者列表）

关键补丁更新计划

关键补丁更新在1月、4月、7月和10月的第三个星期二发布。接下来的四个日期是：

• 2022年10月18日
• 2023年1月17日
• 2023年4月18日
• 2023年7月18日

参考资料

• Oracle关键补丁更新、安全警报和公告
• 关键补丁更新 - 2022年7月文档地图
• Oracle关键补丁更新和安全警报 - 常见问题解答
• 风险矩阵定义
• Oracle使用的通用漏洞评分系统（CVSS）
• 风险矩阵的英文文本版本
• 风险矩阵的CVRF XML版本
• 风险矩阵的CSAF JSON版本
• CVE到公告/警报的映射
• Oracle终身支持政策
• JEP 290参考阻止列表过滤器

修改历史

Oracle数据库产品风险矩阵

此关键补丁更新包含23个新的Oracle数据库产品安全补丁，分配如下：

• 9个新的Oracle数据库产品安全补丁
• Oracle Autonomous Health Framework没有新的安全补丁，但提供了第三方补丁
• Oracle Berkeley DB没有新的安全补丁，但提供了第三方补丁
• 3个新的Oracle Big Data Graph安全补丁
• Oracle Blockchain Platform没有新的安全补丁，但提供了第三方补丁
• 1个新的Oracle Essbase安全补丁
• 1个新的Oracle Global Lifecycle Management安全补丁
• 4个新的Oracle GoldenGate安全补丁
• 1个新的Oracle Graph Server and Client安全补丁
• Oracle NoSQL Database没有新的安全补丁，但提供了第三方补丁
• 2个新的Oracle REST Data Services安全补丁
• 1个新的Oracle Spatial Studio安全补丁
• Oracle SQL Developer没有新的安全补丁，但提供了第三方补丁
• 1个新的Oracle TimesTen In-Memory Database安全补丁

Oracle数据库服务器风险矩阵

此关键补丁更新包含9个新的安全补丁以及下面注明的其他第三方补丁。这些漏洞中有1个可以在没有身份验证的情况下远程利用，即可以通过网络利用而不需要用户凭据。这些补丁中有1个适用于仅客户端安装，即没有安装Oracle数据库服务器的安装。

（详细风险矩阵表格内容…）

其他产品风险矩阵

（其他Oracle产品的详细风险矩阵内容，包括Commerce、Communications Applications、Communications、Construction and Engineering、E-Business Suite、Enterprise Manager、Financial Services Applications、Food and Beverage Applications、Fusion Middleware、Health Sciences Applications、HealthCare Applications、Hospitality Applications、Java SE、JD Edwards、MySQL、PeopleSoft、Policy Automation、Retail Applications、Siebel CRM、Supply Chain、Systems、Utilities Applications、Virtualization等）