Oracle 关键补丁更新咨询 - 2024年1月
描述
关键补丁更新是针对多个安全漏洞的补丁集合。这些补丁解决了Oracle代码和Oracle产品中包含的第三方组件中的漏洞。这些补丁通常是累积性的,但每个公告仅描述自上一个关键补丁更新公告以来新增的安全补丁。因此,应查阅之前的关键补丁更新公告以获取有关早期发布的安全补丁的信息。
Oracle持续定期收到关于恶意利用Oracle已发布安全补丁的漏洞的报告。在某些情况下,据报道攻击者之所以成功,是因为目标客户未能应用可用的Oracle补丁。因此,Oracle强烈建议客户保持使用受支持的版本,并立即应用关键补丁更新安全补丁。
此关键补丁更新包含以下产品系列的389个新安全补丁。请注意,总结此关键补丁更新内容和其他Oracle软件安全保障活动的MOS说明位于[2024年1月关键补丁更新:执行摘要和分析]。
受影响产品和补丁信息
此关键补丁更新解决的安全漏洞影响下面列出的产品。产品区域显示在"补丁可用性文档"列中。
请点击下面"补丁可用性文档"列中的链接以访问补丁可用性信息和安装说明的文档。
受影响产品和版本
| 受影响产品和版本 | 补丁可用性文档 |
|---|---|
| Fujitsu M10-1, M10-4, M10-4S, M12-1, M12-2, M12-2S Servers, versions prior to XCP2430, prior to XCP3130, prior to XCP4040 | Systems |
| GoldenGate Big Data and Application Adapters, versions 19.1.0.0.0-19.1.0.0.16, 21.3-21.12 | Database |
| Integrated Lights Out Manager (ILOM), versions 3, 4, 5 | Systems |
| JD Edwards EnterpriseOne Orchestrator, versions prior to 9.2.8.0 | JD Edwards |
| JD Edwards EnterpriseOne Tools, versions prior to 9.2.8.1 | JD Edwards |
| MySQL Cluster, versions 7.5.32 and prior, 7.6.28 and prior, 8.0.35 and prior, 8.1.0, 8.2.0 and prior | MySQL |
| MySQL Connectors, versions 8.0.35 and prior, 8.2.0 and prior | MySQL |
| MySQL Enterprise Monitor, versions 8.0.36 and prior | MySQL |
| MySQL Server, versions 8.0.35 and prior, 8.1.0, 8.2.0 and prior | MySQL |
| MySQL Workbench, versions 8.0.34 and prior | MySQL |
| Oracle Access Manager, version 12.2.1.4.0 | Fusion Middleware |
| Oracle Agile PLM, version 9.3.6 | Oracle Supply Chain Products |
| Oracle Agile Product Lifecycle Management for Process, versions prior to 6.2.4.2 | Oracle Supply Chain Products |
| Oracle Analytics Desktop, versions 6.4.0.0.0, prior to 7.2 | Oracle Analytics |
| Oracle Application Testing Suite, version 13.3.0.1 | Oracle Enterprise Manager |
| Oracle Audit Vault and Database Firewall, versions 20.1-20.9 | Database |
| Oracle Banking APIs, versions 19.1.0, 21.1.0, 22.1.0, 22.2.0 | Contact Support |
| …(完整列表见原文) | … |
风险矩阵内容
风险矩阵仅列出与此公告关联的补丁新解决的安全漏洞。之前安全补丁的风险矩阵可以在之前的关键补丁更新公告和警报中找到。本文档中提供的风险矩阵的英文文本版本在此处。
使用CVSS 3.1版对安全漏洞进行评分(参见Oracle CVSS评分了解Oracle如何应用CVSS 3.1版)。
Oracle对关键补丁更新解决的每个安全漏洞进行分析。Oracle不会向客户披露此安全分析的详细信息,但生成的风险矩阵和相关文档提供了有关漏洞类型、利用所需条件以及成功利用的潜在影响的信息。Oracle提供此信息,以便客户可以根据其产品使用的具体情况自行进行风险分析。有关更多信息,请参阅Oracle漏洞披露策略。
第三方组件中无法通过包含在Oracle产品中被利用的漏洞列在相应Oracle产品风险矩阵的下方。从2023年7月关键补丁更新开始,还提供了VEX理由。
风险矩阵中的协议意味着其所有安全变体也受到影响。例如,如果HTTP被列为受影响协议,则意味着HTTPS也受影响。仅当安全变体是唯一受影响的变体时,才会在风险矩阵中列出安全变体。
解决方法
由于成功攻击构成的威胁,Oracle强烈建议客户尽快应用关键补丁更新安全补丁。在应用关键补丁更新补丁之前,可能可以通过阻止攻击所需的网络协议来降低成功攻击的风险。对于需要某些权限或访问某些软件包的攻击,从不需要这些权限的用户中删除权限或访问软件包的能力可能有助于降低成功攻击的风险。这两种方法都可能会破坏应用程序功能,因此Oracle强烈建议客户在非生产系统上测试更改。这两种方法都不应被视为长期解决方案,因为它们都不能纠正根本问题。
跳过的关键补丁更新
Oracle强烈建议客户尽快应用安全补丁。对于跳过了一个或多个关键补丁更新并关注在此关键补丁更新中未宣布安全补丁的产品的客户,请查阅之前的关键补丁更新公告以确定适当的操作。
关键补丁更新支持的产品和版本
通过关键补丁更新程序发布的补丁仅提供给在终身支持策略的首要支持或扩展支持阶段覆盖的产品版本。Oracle建议客户计划产品升级,以确保通过关键补丁更新程序发布的补丁可用于他们当前运行的版本。
未处于首要支持或扩展支持状态的产品版本不会测试是否存在此关键补丁更新解决的漏洞。但是,早期版本的受影响版本很可能也受这些漏洞的影响。因此,Oracle建议客户升级到受支持的版本。
数据库、融合中间件和Oracle Enterprise Manager产品根据软件错误纠正支持策略进行修补,该策略进一步补充了终身支持策略,如My Oracle Support说明209768.1中所述。请查阅技术支持策略以获取有关支持策略和支持阶段的进一步指南。
信用声明
以下个人或组织向Oracle报告了此关键补丁更新解决的安全漏洞:
- Andrej Šimko of Accenture: CVE-2024-20938, CVE-2024-20939, CVE-2024-20940, CVE-2024-20941, CVE-2024-20942, CVE-2024-20943, CVE-2024-20944, CVE-2024-20947, CVE-2024-20948, CVE-2024-20949, CVE-2024-20950, CVE-2024-20951
- AnhNH of Sacombank: CVE-2024-20904
- …(完整列表见原文)
深度安全贡献者
Oracle感谢为我们的深度安全计划做出贡献的人员(参见FAQ)。如果人员提供的信息、观察或建议导致在未来版本中对Oracle代码或文档进行重大修改,但并非关键性质以至于在关键补丁更新中分发,则他们会因深度安全贡献而受到认可。
在此关键补丁更新中,Oracle认可以下对Oracle深度安全计划的贡献:
- Alexander Kornbrust of Red Database Security
- Davide Virruso of Yoroi
- Martin Hiller of CAS Software AG
- Xiao Lei
在线存在安全贡献者
Oracle感谢为我们的在线存在安全计划做出贡献的人员(参见FAQ)。如果人员提供的信息、观察或建议导致对Oracle在线外部面向系统进行重大修改的安全相关问题,则他们会因对Oracle在线存在的贡献而受到认可。
对于本季度,Oracle认可以下对Oracle在线存在安全计划的贡献:
- Aaditya
- Aakash Tayal
- …(完整列表见原文)
关键补丁更新计划
关键补丁更新在1月、4月、7月和10月的第三个星期二发布。接下来的四个日期是:
- 2024年4月16日
- 2024年7月16日
- 2024年10月15日
- 2025年1月21日
参考
- Oracle关键补丁更新、安全警报和公告
- 关键补丁更新 - 2024年1月文档地图
- Oracle关键补丁更新和安全警报 - 常见问题解答
- 风险矩阵定义
- Oracle使用通用漏洞评分系统(CVSS)
- 风险矩阵的英文文本版本
- 风险矩阵的CSAF JSON版本
- CVE到公告/警报的映射
- Oracle终身支持策略
- JEP 290参考阻止列表过滤器
修改历史
| 日期 | 说明 |
|---|---|
| 2025年2月11日 | Rev 5. 更新了信用声明 |
| 2024年4月3日 | Rev 4. 更新了Outside In的受影响版本 |
| 2024年2月16日 | Rev 3. 更新了Communications Unified Inventory Management的版本;CVE-2024-20952和CVE-2024-2094的Java说明更改 |
| 2024年1月25日 | Rev 2. 更新了信用和Java版本 |
| 2024年1月16日 | Rev 1. 初始发布 |
Oracle数据库产品风险矩阵
此关键补丁更新包含15个新的Oracle数据库产品安全补丁,分配如下:
- Oracle数据库产品的3个新安全补丁
- Oracle Audit Vault and Database Firewall的5个新安全补丁
- Oracle Big Data Spatial and Graph的1个新安全补丁
- Oracle Essbase的3个新安全补丁
- Oracle Global Lifecycle Management没有新的安全补丁,但提供了第三方补丁
- Oracle GoldenGate的1个新安全补丁
- Oracle Graph Server and Client的1个新安全补丁
- Oracle NoSQL Database的1个新安全补丁
- Oracle REST Data Services没有新的安全补丁,但提供了第三方补丁
- Oracle Secure Backup没有新的安全补丁,但提供了第三方补丁
- Oracle SQL Developer没有新的安全补丁,但提供了第三方补丁
- Oracle TimesTen In-Memory Database没有新的安全补丁,但提供了第三方补丁
Oracle数据库服务器风险矩阵
此关键补丁更新包含3个新的安全补丁,加上下面注明的额外第三方补丁,用于Oracle数据库产品。这些漏洞都不能在没有身份验证的情况下远程利用,即,都不能在没有用户凭据的情况下通过网络利用。这些补丁都不适用于仅客户端的安装,即没有安装Oracle数据库服务器的安装。此风险矩阵的英文文本形式可以在此处找到。
| CVE ID | 组件 | 包和/或权限要求 | 协议 | 无需身份验证远程利用? | 基础分数 | 攻击向量 | 攻击复杂性 | 所需权限 | 用户交互 | 范围 | 机密性 | 完整性 | 可用性 | 受影响的受支持版本 | 注释 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| CVE-2024-20903 | Java VM | 创建会话,创建过程 | Oracle Net | 否 | 6.5 | 网络 | 低 | 低 | 无 | 未更改 | 无 | 高 | 无 | 19.3-19.21, 21.3-21.12 | |
| CVE-2023-38545 | Oracle Spatial and Graph (curl) | 认证用户 | HTTP | 否 | 6.5 | 网络 | 低 | 低 | 无 | 未更改 | 无 | 无 | 高 | 19.3-19.21, 21.3-21.12, 23.3 | |
| CVE-2022-21432 | Oracle Text | DBA | Oracle Net | 否 | 2.7 | 网络 | 低 | 高 | 无 | 未更改 | 无 | 无 | 低 | 19.3-19.21 |
其他解决的CVE包括:
- CVE-2023-38545的补丁还解决了CVE-2023-38039和CVE-2023-38546。
此关键补丁更新中包含的此Oracle产品系列的其他不可利用CVE的额外补丁:
- Grid Infrastructure (Apache Tomcat): CVE-2023-46589, CVE-2023-42794, CVE-2023-42795, CVE-2023-44487 and CVE-2023-45648 [VEX理由: vulnerable_code_cannot_be_controlled_by_adversary]
- …(完整列表见原文)
(文章继续详细列出所有受影响产品的风险矩阵,由于篇幅限制,此处仅展示部分内容。完整翻译包含所有产品系列的详细风险矩阵、漏洞评分和修复建议。)