Oracle 2023年4月关键补丁更新公告
描述
关键补丁更新是针对多个安全漏洞的补丁集合。这些补丁解决了Oracle代码和Oracle产品中包含的第三方组件中的漏洞。这些补丁通常是累积性的,但每个公告仅描述自上一个关键补丁更新公告以来新增的安全补丁。
Oracle持续收到关于恶意利用已发布安全补丁漏洞的报告。在某些情况下,攻击者之所以成功,是因为目标客户未能应用可用的Oracle补丁。因此,Oracle强烈建议客户保持在积极支持的版本上,并立即应用关键补丁更新安全补丁。
此关键补丁更新包含以下产品系列的433个新安全补丁。
受影响产品和补丁信息
此关键补丁更新解决的安全漏洞影响以下列出的产品。产品区域显示在"补丁可用文档"列中。
受影响产品和版本
| 受影响产品和版本 | 补丁可用文档 |
|---|---|
| JD Edwards EnterpriseOne Orchestrator, 9.2.7.3之前版本 | JD Edwards |
| MySQL Server, 5.7.41及之前版本, 8.0.32及之前版本 | MySQL |
| Oracle Database Server, 版本19c, 21c | Database |
| Oracle Java SE, 版本8u361, 8u361-perf, 11.0.18, 17.0.6, 20 | Java SE |
| Oracle WebLogic Server, 版本12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 | Fusion Middleware |
(此处仅列出部分产品,实际包含更多产品)
风险矩阵内容
风险矩阵仅列出与此公告关联的补丁新解决的安全漏洞。先前安全补丁的风险矩阵可在先前的关键补丁更新公告和警报中找到。
安全漏洞使用CVSS 3.1版本进行评分。Oracle对每个由关键补丁更新解决的安全漏洞进行分析。
解决方法
由于成功攻击构成的威胁,Oracle强烈建议客户尽快应用关键补丁更新安全补丁。在应用关键补丁更新补丁之前,可能可以通过阻止攻击所需的网络协议来降低成功攻击的风险。
跳过的关键补丁更新
Oracle强烈建议客户尽快应用安全补丁。对于跳过一个或多个关键补丁更新并关注未在此关键补丁更新中宣布安全补丁的产品的客户,请查看先前的关键补丁更新公告以确定适当的操作。
关键补丁更新支持的产品和版本
通过关键补丁更新程序发布的补丁仅提供给在终身支持策略的Premier Support或Extended Support阶段覆盖的产品版本。
致谢声明
以下人员或组织向Oracle报告了此关键补丁更新解决的安全漏洞:(包含多个安全研究人员和组织)
安全深度贡献者
Oracle感谢为我们的安全深度计划做出贡献的人员。
在线存在安全贡献者
Oracle感谢为我们的在线存在安全计划做出贡献的人员。
关键补丁更新计划
关键补丁更新在1月、4月、7月和10月的第三个星期二发布。接下来四个日期是:
- 2023年7月18日
- 2023年10月17日
- 2024年1月16日
- 2024年4月16日
修改历史
- 2023年4月25日:Rev 2。更新了WebLogic协议和信用更新。
- 2023年4月18日:Rev 1。初始发布。
各产品风险矩阵详情
Oracle数据库产品风险矩阵
此关键补丁更新包含23个新的Oracle数据库产品安全补丁,包括:
- Oracle数据库服务器的5个新安全补丁
- Oracle GoldenGate的2个新安全补丁
- Oracle Java SE的8个新安全补丁
Oracle中间件风险矩阵
此关键补丁更新包含49个新的Oracle Fusion Middleware安全补丁,其中44个漏洞可能无需身份验证即可远程利用。
Oracle MySQL风险矩阵
此关键补丁更新包含34个新的MySQL安全补丁,其中11个漏洞可能无需身份验证即可远程利用。
(文章继续详细列出所有受影响产品的风险矩阵,包括CVE ID、受影响组件、协议、CVSS评分和受影响版本等详细信息)
总结
此关键补丁更新解决了Oracle产品系列中的大量安全漏洞,建议所有使用受影响产品的用户立即评估其环境并应用相应的安全补丁,以保护系统免受潜在攻击。