Oracle 2024年1月关键补丁更新公告
描述
关键补丁更新是针对多个安全漏洞的补丁集合。这些补丁解决了Oracle代码和Oracle产品中包含的第三方组件中的漏洞。这些补丁通常是累积性的,但每个公告仅描述自上一个关键补丁更新公告以来新增的安全补丁。因此,应查阅之前的关键补丁更新公告以获取有关先前发布的安全补丁的信息。
Oracle持续收到关于恶意利用Oracle已发布安全补丁的漏洞的报告。在某些情况下,据报道攻击者已成功利用,原因是目标客户未能应用可用的Oracle补丁。因此,Oracle强烈建议客户保持在主动支持的版本上,并立即应用关键补丁更新安全补丁。
此关键补丁更新包含以下产品系列的389个新安全补丁。
受影响产品和补丁信息
此关键补丁更新解决的安全漏洞影响以下列出的产品。产品区域显示在"补丁可用文档"列中。
请点击下方"补丁可用文档"列中的链接以访问补丁可用性信息和安装说明的文档。
受影响产品和版本
| 受影响产品和版本 | 补丁可用文档 |
|---|---|
| Fujitsu M10-1, M10-4, M10-4S, M12-1, M12-2, M12-2S Servers, versions prior to XCP2430, prior to XCP3130, prior to XCP4040 | Systems |
| GoldenGate Big Data and Application Adapters, versions 19.1.0.0.0-19.1.0.0.16, 21.3-21.12 | Database |
| Integrated Lights Out Manager (ILOM), versions 3, 4, 5 | Systems |
| JD Edwards EnterpriseOne Orchestrator, versions prior to 9.2.8.0 | JD Edwards |
| JD Edwards EnterpriseOne Tools, versions prior to 9.2.8.1 | JD Edwards |
| MySQL Cluster, versions 7.5.32 and prior, 7.6.28 and prior, 8.0.35 and prior, 8.1.0, 8.2.0 and prior | MySQL |
| …(完整产品列表)… | … |
风险矩阵内容
风险矩阵仅列出与此公告关联的补丁新解决的安全漏洞。先前安全补丁的风险矩阵可在之前的关键补丁更新公告和警报中找到。
安全漏洞使用CVSS 3.1版本进行评分。Oracle对关键补丁更新解决的每个安全漏洞进行分析。
解决方案
由于成功攻击构成的威胁,Oracle强烈建议客户尽快应用关键补丁更新安全补丁。在应用关键补丁更新补丁之前,可能可以通过阻止攻击所需的网络协议来降低成功攻击的风险。
关键补丁更新支持的产品和版本
通过关键补丁更新程序发布的补丁仅适用于生命周期支持策略的主要支持或扩展支持阶段覆盖的产品版本。
致谢
以下人员或组织向Oracle报告了此关键补丁更新解决的安全漏洞:
- Andrej Šimko of Accenture: CVE-2024-20938, CVE-2024-20939等
- …(完整致谢列表)…
深入安全贡献者
Oracle感谢为我们的深入安全计划做出贡献的人员。
在线存在安全贡献者
Oracle感谢为我们的在线存在安全计划做出贡献的人员。
关键补丁更新时间表
关键补丁更新在1月、4月、7月和10月的第三个星期二发布。接下来的四个日期是:
- 2024年4月16日
- 2024年7月16日
- 2024年10月15日
- 2025年1月21日
修改历史
- 2025年2月11日 Rev 5:更新了致谢声明
- 2024年4月3日 Rev 4:更新了Outside In的受影响版本
- 2024年2月16日 Rev 3:更新了Communications Unified Inventory Management的版本;CVE-2024-20952和CVE-2024-2094的Java说明更改
- 2024年1月25日 Rev 2:更新了致谢和Java版本
- 2024年1月16日 Rev 1:初始发布
各产品风险矩阵详情
Oracle数据库产品风险矩阵
此关键补丁更新包含15个新的Oracle数据库产品安全补丁,分为以下几类:
- Oracle数据库产品:3个新安全补丁
- Oracle Audit Vault and Database Firewall:5个新安全补丁
- Oracle Big Data Spatial and Graph:1个新安全补丁
- Oracle Essbase:3个新安全补丁
- Oracle GoldenGate:1个新安全补丁
- Oracle Graph Server and Client:1个新安全补丁
- Oracle NoSQL Database:1个新安全补丁
Oracle数据库服务器风险矩阵
此关键补丁更新包含3个新安全补丁,加上下面注明的其他第三方补丁。这些漏洞均无法在没有身份验证的情况下远程利用。这些补丁均不适用于仅客户端安装。
| CVE ID | 组件 | 协议 | 无需认证远程利用? | CVSS 3.1基础分 | 受影响的支持版本 |
|---|---|---|---|---|---|
| CVE-2024-20903 | Java VM | Oracle Net | 否 | 6.5 | 19.3-19.21, 21.3-21.12 |
| CVE-2023-38545 | Oracle Spatial and Graph (curl) | HTTP | 否 | 6.5 | 19.3-19.21, 21.3-21.12, 23.3 |
| CVE-2022-21432 | Oracle Text | Oracle Net | 否 | 2.7 | 19.3-19.21 |
(其他产品风险矩阵内容类似翻译…)
此关键补丁更新为Oracle产品提供了全面的安全修复,涵盖了从关键漏洞到中等严重性问题的广泛安全更新。建议所有Oracle用户立即评估其系统并应用相关补丁。