Oracle 2024年10月关键补丁更新公告
描述
关键补丁更新是针对多个安全漏洞的补丁集合。这些补丁解决了Oracle代码和Oracle产品中包含的第三方组件中的漏洞。这些补丁通常是累积性的,但每个公告仅描述自上一个关键补丁更新公告以来新增的安全补丁。因此,应查阅之前的关键补丁更新公告以获取有关早期发布的安全补丁的信息。
Oracle持续定期收到关于恶意利用Oracle已发布安全补丁的漏洞的报告。在某些情况下,据报道攻击者已成功利用漏洞,原因是目标客户未能应用可用的Oracle补丁。因此,Oracle强烈建议客户保持使用受积极支持的版本,并立即应用关键补丁更新安全补丁。
此关键补丁更新包含以下产品系列的334个新安全补丁。
受影响产品和补丁信息
此关键补丁更新解决的安全漏洞影响以下列出的产品。
受影响产品和版本
| 产品名称 | 受影响版本 | 补丁可用性文档 |
|---|---|---|
| Autonomous Health Framework | 24.9之前版本 | Oracle Autonomous Health Framework |
| GoldenGate Stream Analytics | 19.1.0.0.0-19.1.0.0.9 | Database |
| MySQL Client | 8.0.39及之前版本,8.4.2及之前版本,9.0.1及之前版本 | MySQL |
| Oracle Database Server | 19.3-19.24, 21.3-21.15, 23.4-23.5 | Database |
| Oracle WebLogic Server | 12.2.1.4.0, 14.1.1.0.0 | Fusion Middleware |
| Oracle Java SE | 8u421, 8u421-perf, 11.0.24, 17.0.12, 21.0.4, 23 | Java SE |
风险矩阵内容
风险矩阵仅列出此公告关联补丁新解决的安全漏洞。之前安全补丁的风险矩阵可在之前的关键补丁更新公告和警报中找到。
安全漏洞使用CVSS 3.1版本进行评分。Oracle对此关键补丁更新解决的每个安全漏洞进行分析。
Oracle数据库服务器风险矩阵
此关键补丁更新包含6个新的安全补丁,外加下面注明的额外第三方补丁,用于Oracle数据库产品。其中2个漏洞可以在没有身份验证的情况下远程利用,即可以通过网络利用而不需要用户凭据。其中1个补丁适用于仅客户端安装。
| CVE ID | 组件 | 协议 | 可远程利用无认证? | CVSS基础分 | 受影响版本 |
|---|---|---|---|---|---|
| CVE-2024-6119 | Oracle数据库安全(OpenSSL) | 多协议 | 是 | 5.3 | 23.4-23.5 |
| CVE-2024-7264 | Oracle Spatial and Graph(libcurl2) | HTTP | 是 | 5.3 | 19.3-19.24, 21.3-21.15, 23.4-23.5 |
解决方法
由于成功攻击构成的威胁,Oracle强烈建议客户尽快应用关键补丁更新安全补丁。在应用关键补丁更新补丁之前,可以通过阻止攻击所需的网络协议来降低成功攻击的风险。
支持的产品和版本
通过关键补丁更新程序发布的补丁仅提供给在终身支持策略的Premier Support或Extended Support阶段覆盖的产品版本。
致谢
以下人员或组织向Oracle报告了此关键补丁更新解决的安全漏洞:(名单略)
安全深度贡献者
Oracle感谢为我们的安全深度计划做出贡献的人员。
关键补丁更新计划
关键补丁更新在1月、4月、7月和10月的第三个星期二发布。接下来四个日期是:
- 2025年1月21日
- 2025年4月15日
- 2025年7月15日
- 2025年10月21日
修改历史
- 2024年11月25日 Rev 2:更新了MySQL Connectors版本
- 2024年10月15日 Rev 1:初始发布
此关键补丁更新为各Oracle产品家族提供了详细的风险矩阵和修复方案,建议所有使用受影响产品的用户及时应用相关补丁以确保系统安全。