Oracle 2023年1月关键补丁更新公告
描述
关键补丁更新是针对多个安全漏洞的补丁集合。这些补丁解决了Oracle代码和Oracle产品中包含的第三方组件中的漏洞。这些补丁通常是累积性的,但每个公告仅描述自上一个关键补丁更新公告以来新增的安全补丁。
Oracle持续收到试图恶意利用已发布安全补丁漏洞的报告。在某些情况下,攻击者之所以成功,是因为目标客户未能应用可用的Oracle补丁。因此,Oracle强烈建议客户保持在主动支持的版本上,并立即应用关键补丁更新安全补丁。
此关键补丁更新包含以下产品系列的327个新安全补丁。
受影响产品和补丁信息
本关键补丁更新解决的安全漏洞影响以下列出的产品。产品区域显示在"补丁可用文档"列中。
受影响产品和版本
| 受影响产品和版本 | 补丁可用文档 |
|---|---|
| Big Data Spatial and Graph, 21.4.3之前版本, 23.1.0之前版本 | Database |
| Enterprise Manager Base Platform, 版本13.4.0.0, 13.5.0.0 | Enterprise Manager |
| Enterprise Manager Ops Center, 版本12.4.0.0 | Enterprise Manager |
| Oracle Database Server, 版本19c, 21c | Database |
| Oracle Java SE, 版本8u351, 8u351-perf, 11.0.17, 17.0.5, 19.0.1 | Java SE |
| Oracle WebLogic Server, 版本12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 | Fusion Middleware |
| MySQL Server, 版本5.7.40及之前, 8.0.31及之前 | MySQL |
| Oracle VM VirtualBox, 6.1.42之前版本, 7.0.6之前版本 | Virtualization |
风险矩阵内容
风险矩阵仅列出与此公告关联的补丁新解决的安全漏洞。使用CVSS 3.1版对安全漏洞进行评分。
Oracle数据库服务器风险矩阵
此关键补丁更新包含9个新的安全补丁:
| CVE ID | 组件 | 协议 | 无需认证可远程利用? | CVSS基础分 | 受影响的支持版本 |
|---|---|---|---|---|---|
| CVE-2023-21893 | Oracle Data Provider for .NET | TCPS | 是 | 7.5 | 19c, 21c |
| CVE-2021-3737 | Oracle Database - Machine Learning for Python | Oracle Net | 否 | 6.5 | 21c |
| CVE-2022-42003 | Oracle Database - Workload Manager | HTTP | 否 | 6.5 | 19c, 21c |
Oracle Java SE风险矩阵
此关键补丁更新包含4个新的安全补丁:
| CVE ID | 组件 | 协议 | 无需认证可远程利用? | CVSS基础分 | 受影响的支持版本 |
|---|---|---|---|---|---|
| CVE-2022-43548 | Node (Node.js) | HTTPS | 是 | 8.1 | GraalVM EE: 20.3.8, 21.3.4, 22.3.0 |
| CVE-2023-21835 | JSSE | DTLS | 是 | 5.3 | Java SE: 11.0.17, 17.0.5, 19.0.1 |
解决方法
由于成功攻击构成的威胁,Oracle强烈建议客户尽快应用关键补丁更新安全补丁。在应用关键补丁更新补丁之前,可以通过阻止攻击所需的网络协议来降低成功攻击的风险。
补丁更新计划
关键补丁更新在1月、4月、7月和10月的第三个星期二发布。接下来的四个日期是:
- 2023年4月18日
- 2023年7月18日
- 2023年10月17日
- 2024年1月16日
致谢
Oracle感谢以下人员和组织向Oracle报告了此关键补丁更新中解决的安全漏洞:0xrumbe、Lamber、M1s5p of ThreatBook Labs、4ra1n of X-Ray Security Team等安全研究人员。
此关键补丁更新涉及多个产品系列的安全漏洞修复,企业应及时评估影响并安排补丁更新工作,以保障系统安全。