Oracle 2023年7月关键补丁更新公告
概述
关键补丁更新是针对多个安全漏洞的补丁集合。这些补丁修复了Oracle代码和Oracle产品中包含的第三方组件中的漏洞。这些补丁通常是累积性的,但每个公告仅描述自上一个关键补丁更新公告以来新增的安全补丁。
Oracle持续定期收到关于恶意利用Oracle已发布安全补丁漏洞的报告。在某些情况下,据报道攻击者已成功利用漏洞,原因是目标客户未能应用可用的Oracle补丁。因此,Oracle强烈建议客户保持在主动支持的版本上,并立即应用关键补丁更新安全补丁。
此关键补丁更新包含以下产品系列的508个新安全补丁。
受影响产品和补丁信息
此关键补丁更新解决的安全漏洞影响以下列出的产品。产品区域显示在"补丁可用性文档"列中。
受影响产品和版本
| 受影响产品和版本 | 补丁可用性文档 |
|---|---|
| Application Management Pack for Oracle Utilities & Enterprise Taxation, versions 13.4.1.0.0, 13.5.1.0.0 | Oracle Utilities Applications |
| BI Publisher, versions 6.4.0.0.0, 7.0.0.0.0 | Oracle Analytics |
| JD Edwards EnterpriseOne Orchestrator, versions prior to 9.2.7.4 | JD Edwards |
| JD Edwards EnterpriseOne Tools, versions prior to 9.2.7.4 | JD Edwards |
| MySQL Cluster, versions 8.0.33 and prior | MySQL |
| MySQL Connectors, versions 8.0.33 and prior | MySQL |
| MySQL Enterprise Monitor, versions 8.0.34 and prior | MySQL |
| MySQL Server, versions 5.7.42 and prior, 8.0.33 and prior | MySQL |
| MySQL Workbench, versions 8.0.33 and prior | MySQL |
| Oracle Access Manager, version 12.2.1.4.0 | Fusion Middleware |
| Oracle Agile Engineering Data Management, versions 6.2.1.0-6.2.1.8 | Oracle Supply Chain Products |
| Oracle Agile PLM, version 9.3.6 | Oracle Supply Chain Products |
| Oracle Application Express, versions [Application Express Administration] 18.2-22.2, [Application Express Customers Plugin] 18.2-22.2, [Application Express Team Calendar Plugin] 18.2-22.1 | Database |
| Oracle Application Testing Suite, version 13.3.0.1 | Oracle Enterprise Manager |
| Oracle AutoVue, versions 21.0.2.0-21.0.2.7 | Oracle Supply Chain Products |
| Oracle Autovue for Agile Product Lifecycle Management, version 21.0.2 | Oracle Supply Chain Products |
| Oracle BAM (Business Activity Monitoring), version 12.2.1.4.0 | Fusion Middleware |
| Oracle Banking APIs, versions 18.2.0.0.0, 18.3.0.0.0, 19.1.0.0.0, 19.2.0.0.0, 21.1.0.0.0, 22.1.0.0.0, 22.2.0.0.0 | Contact Support |
| Oracle Banking Branch, versions 14.5-14.7 | Contact Support |
| Oracle Banking Cash Management, versions 14.7.0.2.0, 14.7.1.0.0 | Contact Support |
| Oracle Banking Corporate Lending, versions 14.0-14.3, 14.5-14.7 | Contact Support |
| Oracle Banking Corporate Lending Process Management, versions 14.4-14.7 | Contact Support |
| Oracle Banking Credit Facilities Process Management, version 14.7.1.0.0 | Contact Support |
| Oracle Banking Digital Experience, versions 18.2.0.0.0, 18.3.0.0.0, 19.1.0.0.0, 19.2.0.0.0, 21.1.0.0.0, 22.1.0.0.0, 22.2.0.0.0 | Contact Support |
| Oracle Banking Liquidity Management, versions 14.5.0.8.0, 14.6.0.3.0, 14.6.0.4.0, 14.7.0.1.0, 14.7.0.2.0, 14.7.1.0.0 | Contact Support |
| Oracle Banking Origination, versions 14.5-14.7, 14.7.0 | Contact Support |
| Oracle Banking Payments, versions 14.5-14.7 | Contact Support |
| Oracle Banking Supply Chain Finance, versions 14.7.0.2.0, 14.7.1.0.0 | Contact Support |
| Oracle Banking Trade Finance, versions 14.0-14.3, 14.5-14.7 | Contact Support |
| Oracle Banking Trade Finance Process Management, versions 14.5.0.8.0, 14.6.0.4.0, 14.7.0.2.0, 14.7.1.0.0 | Contact Support |
| Oracle Banking Treasury Management, versions 14.5-14.7 | Contact Support |
| Oracle Big Data Spatial and Graph, version 3.0 | Database |
| Oracle Business Intelligence Enterprise Edition, versions 6.4.0.0.0, 7.0.0.0.0, 12.2.1.4.0 | Oracle Analytics |
| Oracle Business Process Management Suite, version 12.2.1.4.0 | Fusion Middleware |
| Oracle Coherence, versions 12.2.1.4.0, 14.1.1.0.0 | Fusion Middleware |
| Oracle Commerce Guided Search, version 11.3.2 | Oracle Commerce |
| Oracle Commerce Platform, versions 11.3.0, 11.3.1, 11.3.2 | Oracle Commerce |
(此处省略部分产品列表以保持简洁)
风险矩阵内容
风险矩阵仅列出与此公告关联的补丁新解决的安全漏洞。先前安全补丁的风险矩阵可以在先前的关键补丁更新公告和警报中找到。
Oracle数据库产品风险矩阵
此关键补丁更新包含15个新的Oracle数据库产品安全补丁,分为以下几类:
- 5个新的Oracle数据库产品安全补丁
- 3个新的Oracle Application Express安全补丁
- 2个新的Oracle Essbase安全补丁
- 2个新的Oracle GoldenGate安全补丁
- 1个新的Oracle Graph Server and Client安全补丁
- 1个新的Oracle Spatial Studio安全补丁
- 1个新的Oracle TimesTen In-Memory Database安全补丁
Oracle数据库服务器风险矩阵
此关键补丁更新包含5个新的安全补丁,以及下面注明的其他第三方补丁。其中1个漏洞可以在没有身份验证的情况下远程利用,即可以通过网络利用而不需要用户凭据。其中1个补丁适用于仅客户端安装,即没有安装Oracle数据库服务器的安装。
| CVE ID | 组件 | 包和/或所需权限 | 协议 | 无需认证远程利用? | 基础评分 | 攻击向量 | 攻击复杂度 | 所需权限 | 用户交互 | 范围 | 机密性 | 完整性 | 可用性 | 受影响的支持版本 | 备注 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| CVE-2022-43680 | Oracle Text (LibExpat) | Create Session, Create Index | Oracle Net | No | 6.5 | Network | Low | Low | None | Unchanged | None | None | High | 19.3-19.19, 21.3-21.10 | |
| CVE-2023-23931 | OML4Py (cryptography) | Create Session | Oracle Net | No | 5.4 | Network | Low | Low | None | Unchanged | None | Low | Low | 21.3-21.10 | |
| CVE-2023-22034 | Unified Audit | SYSDBA | Oracle Net | No | 4.9 | Network | Low | High | None | Unchanged | None | High | None | 19.3-19.19, 21.3-21.10 | |
| CVE-2023-21949 | Advanced Networking Option | None | Oracle Net | Yes | 3.7 | Network | High | None | None | Unchanged | None | Low | None | 19.3-19.19, 21.3-21.10 | |
| CVE-2023-22052 | Java VM | Create Session, Create Procedure | Multiple | No | 3.1 | Network | High | Low | None | Unchanged | None | Low | None | 19.3-19.19, 21.3-21.10 |
解决方法
由于成功攻击构成的威胁,Oracle强烈建议客户尽快应用关键补丁更新安全补丁。在应用关键补丁更新补丁之前,可能可以通过阻止攻击所需的网络协议来降低成功攻击的风险。对于需要某些权限或访问某些软件包的攻击,从不需要这些权限的用户中删除权限或访问软件包的能力可能有助于降低成功攻击的风险。这两种方法都可能破坏应用程序功能,因此Oracle强烈建议客户在非生产系统上测试更改。这两种方法都不应被视为长期解决方案,因为它们都不能纠正根本问题。
关键补丁更新支持的产品和版本
通过关键补丁更新程序发布的补丁仅提供给在生命周期支持策略的Premier Support或Extended Support阶段覆盖的产品版本。Oracle建议客户计划产品升级,以确保通过关键补丁更新程序发布的补丁可用于他们当前运行的版本。
致谢
以下人员或组织向Oracle报告了此关键补丁更新解决的安全漏洞:
- 4ra1n and bluE0: CVE-2023-22031
- Ammarit Thongthua of Secure D Center Cybersecurity Team: CVE-2023-22037
- B.GRIMM POWER Cyber security incident response teams: CVE-2023-22037
- bee13oy: CVE-2023-22053
- ch0wn: CVE-2023-22035
- Chen Xiaogeng: CVE-2023-21961
- David Stancu: CVE-2023-22041
(此处省略部分致谢名单以保持简洁)
关键补丁更新计划
关键补丁更新在1月、4月、7月和10月的第三个星期二发布。接下来的四个日期是:
- 2023年10月17日
- 2024年1月16日
- 2024年4月16日
- 2024年7月16日
修改历史
| 日期 | 备注 |
|---|---|
| 2023年7月18日 | Rev 1. 初始发布。 |