Oracle 2023年10月关键补丁更新公告
描述
关键补丁更新是针对多个安全漏洞的补丁集合。这些补丁解决了Oracle代码和Oracle产品中包含的第三方组件中的漏洞。这些补丁通常是累积性的,但每个公告仅描述自上一个关键补丁更新公告以来新增的安全补丁。因此,应查阅之前的关键补丁更新公告以获取有关早期发布的安全补丁的信息。
Oracle持续收到关于恶意利用已发布安全补丁漏洞的报告。在某些情况下,攻击之所以成功是因为目标客户未能应用可用的Oracle补丁。因此,Oracle强烈建议客户保持在主动支持的版本上,并立即应用关键补丁更新安全补丁。
此关键补丁更新包含以下产品系列的387个新安全补丁。
受影响产品和补丁信息
本关键补丁更新解决的安全漏洞影响以下列出的产品。产品区域显示在"补丁可用文档"列中。
请点击下方"补丁可用文档"列中的链接以访问补丁可用性信息和安装说明的文档。
受影响产品和版本
| 受影响产品和版本 | 补丁可用文档 |
|---|---|
| BI Publisher, 版本 6.4.0.0.0, 7.0.0.0.0, 12.2.1.4.0 | Oracle Analytics |
| GoldenGate Big Data, 版本 21.3-21.10 | Database |
| GoldenGate Veridata, 版本 12.2.1.4.0-12.2.1.4.230922 | Database |
| Hospitality OPERA 5 Property Services, 版本 5.6 | Oracle Hospitality OPERA 5 Property Services |
| JD Edwards EnterpriseOne Tools, 版本 9.2.7 | JD Edwards |
| Management Cloud Engine, 版本 23.1.0.0 | Management Cloud Engine |
| MySQL Cluster, 版本 8.0.34及之前, 8.1.0 | MySQL |
| MySQL Connectors, 版本 8.1.0及之前 | MySQL |
| MySQL Enterprise Monitor, 版本 8.0.35及之前 | MySQL |
| MySQL Installer, 版本 1.6.8之前 | MySQL |
| MySQL Server, 版本 5.7.43及之前, 8.0.34及之前, 8.1.0及之前 | MySQL |
| MySQL Shell, 版本 8.1.1及之前 | MySQL |
(此处仅展示部分产品列表,实际包含更多产品)
风险矩阵内容
风险矩阵仅列出此公告关联补丁新解决的安全漏洞。之前安全补丁的风险矩阵可在之前的关键补丁更新公告和警报中找到。
此关键补丁更新中解决的几个漏洞影响多个产品。每个漏洞由CVE ID标识。影响多个产品的漏洞将在所有风险矩阵中以相同的CVE ID出现。
安全漏洞使用CVSS 3.1版进行评分。
解决方案
由于成功攻击构成的威胁,Oracle强烈建议客户尽快应用关键补丁更新安全补丁。在应用关键补丁更新补丁之前,可能可以通过阻止攻击所需的网络协议来降低成功攻击的风险。
跳过的关键补丁更新
Oracle强烈建议客户尽快应用安全补丁。对于跳过了一个或多个关键补丁更新并关注未在此关键补丁更新中宣布安全补丁的产品的客户,请查阅之前的关键补丁更新公告以确定适当的操作。
关键补丁更新支持的产品和版本
通过关键补丁更新计划发布的补丁仅提供给在终身支持策略的首要支持或扩展支持阶段覆盖的产品版本。
致谢
以下人员或组织向Oracle报告了此关键补丁更新解决的安全漏洞:(列出众多安全研究人员和组织)
安全深度贡献者
Oracle感谢为我们的安全深度计划做出贡献的人员。
在线存在安全贡献者
Oracle感谢为我们的在线存在安全计划做出贡献的人员。
关键补丁更新计划
关键补丁更新在1月、4月、7月和10月的第三个星期二发布。接下来的四个日期是:
- 2024年1月16日
- 2024年4月16日
- 2024年7月16日
- 2024年10月15日
修改历史
| 日期 | 备注 |
|---|---|
| 2023年12月8日 | 修订版5。CVE-2023-22098的CVSS评分变更 |
| 2023年11月7日 | 修订版4。GraalVM受影响版本变更;Weblogic受影响版本变更 |
| 2023年10月31日 | 修订版3。VirtualBox CVE-2023-22099的CVSS变更 |
| 2023年10月19日 | 修订版2。添加CVE-2023-22086的致谢;Java和GraalVM版本更新 |
| 2023年10月17日 | 修订版1。初始发布 |
产品风险矩阵详情
Oracle数据库产品风险矩阵
此关键补丁更新包含20个新的Oracle数据库产品安全补丁,分为以下几类:
- 10个新的Oracle数据库产品安全补丁
- Oracle Big Data Spatial and Graph无新安全补丁,但提供第三方补丁
- 1个新的Oracle Essbase安全补丁
- Oracle Global Lifecycle Management无新安全补丁,但提供第三方补丁
- 6个新的Oracle GoldenGate安全补丁
- Oracle Graph Server and Client无新安全补丁,但提供第三方补丁
- 1个新的Oracle REST Data Services安全补丁
- 1个新的Oracle Secure Backup安全补丁
- 1个新的Oracle TimesTen In-Memory Database安全补丁
(文章继续详细列出各个产品的具体漏洞详情、CVE编号、影响组件、CVSS评分等信息,由于篇幅限制,此处不完整展开)
此关键补丁更新涉及的技术内容涵盖数据库安全、中间件漏洞、Web应用安全、网络安全协议、身份认证管理等多个计算机安全领域,包含具体的技术漏洞描述、影响评估和修复方案。