Oracle 2024年7月关键补丁更新公告
描述
关键补丁更新是针对多个安全漏洞的补丁集合。这些补丁修复了Oracle代码和Oracle产品中包含的第三方组件中的漏洞。这些补丁通常是累积性的,但每个公告仅描述自上一个关键补丁更新公告以来新增的安全补丁。因此,应查阅之前的关键补丁更新公告以获取有关早期发布的安全补丁的信息。
Oracle持续定期收到关于恶意利用Oracle已发布安全补丁的漏洞的报告。在某些情况下,据报道攻击者已成功利用,原因是目标客户未能应用可用的Oracle补丁。因此,Oracle强烈建议客户保持使用受支持的版本,并立即应用关键补丁更新安全补丁。
此关键补丁更新包含以下产品系列的386个新安全补丁。
受影响产品和补丁信息
此关键补丁更新解决的安全漏洞影响以下列出的产品。
请点击下面"补丁可用文档"列中的链接以访问补丁可用性信息和安装说明的文档。
受影响产品和版本
| 受影响产品和版本 | 补丁可用文档 |
|---|---|
| JD Edwards EnterpriseOne Orchestrator, 9.2.8.3之前版本 | JD Edwards |
| MySQL Server, 8.0.37及之前版本, 8.0.38, 8.2.0及之前版本, 8.3.0及之前版本, 8.4.0及之前版本, 8.4.1, 9.0.0 | MySQL |
| Oracle Database Server, 19.3-19.23, 21.3-21.14, 23.4 | Database |
| Oracle Fusion Middleware, 12.2.1.4.0版本 | Fusion Middleware |
| Oracle Java SE, 8u411, 8u411-perf, 11.0.23, 17.0.11, 21.0.3, 22.0.1版本 | Java SE |
| Oracle WebLogic Server, 12.2.1.4.0, 14.1.1.0.0版本 | Fusion Middleware |
(表格内容已大幅精简,实际包含数百个产品和版本)
风险矩阵内容
风险矩阵仅列出与此公告关联的补丁新解决的安全漏洞。之前安全补丁的风险矩阵可以在之前的关键补丁更新公告和警报中找到。
安全漏洞使用CVSS 3.1版本进行评分。Oracle对关键补丁更新解决的每个安全漏洞进行分析。Oracle不会向客户披露此安全分析的详细信息,但最终的风险矩阵和相关文档提供了有关利用漏洞所需条件以及成功利用的潜在影响的信息。
解决方法
由于成功攻击构成的威胁,Oracle强烈建议客户尽快应用关键补丁更新安全补丁。在应用关键补丁更新补丁之前,可能可以通过阻止攻击所需的网络协议来降低成功攻击的风险。
支持的版本
通过关键补丁更新计划发布的补丁仅提供给在终身支持政策的Premier Support或Extended Support阶段覆盖的产品版本。Oracle建议客户规划产品升级,确保关键补丁更新计划发布的补丁可用于他们当前运行的版本。
致谢
以下人员或组织向Oracle报告了此关键补丁更新解决的安全漏洞:
- Antonin B of NATO Cyber Security Centre (NCSC): CVE-2024-21132
- Boogipop: CVE-2024-21181, CVE-2024-21182
- Derek Schrock: CVE-2024-21161
- (其他众多安全研究人员和组织)
关键补丁更新计划
关键补丁更新在1月、4月、7月和10月的第三个星期二发布。接下来的四个日期是:
- 2024年10月15日
- 2025年1月21日
- 2025年4月15日
- 2025年7月15日
产品风险矩阵详情
Oracle数据库产品风险矩阵
此关键补丁更新包含15个新的Oracle数据库产品安全补丁:
- 8个新的Oracle数据库产品安全补丁
- 1个新的Oracle Application Express安全补丁
- 2个新的Oracle Essbase安全补丁
- 1个新的Oracle GoldenGate安全补丁
- 1个新的Oracle NoSQL Database安全补丁
- 1个新的Oracle REST Data Services安全补丁
- 1个新的Oracle TimesTen In-Memory Database安全补丁
Oracle数据库服务器风险矩阵
此关键补丁更新包含8个新的安全补丁。其中3个漏洞可以在没有身份验证的情况下远程利用,即可以通过网络利用而不需要用户凭据。
关键漏洞示例:
| CVE ID | 组件 | 协议 | 可远程利用无认证? | CVSS基础分 | 受影响版本 |
|---|---|---|---|---|---|
| CVE-2024-21184 | Oracle数据库RDBMS安全 | Oracle Net | 否 | 7.2 | 19.3-19.23 |
| CVE-2022-41881 | 舰队修补和配置(Netty) | HTTP | 是 | 7.5 | 23.4 |
Oracle Java SE风险矩阵
此关键补丁更新包含7个新的安全补丁。所有这些漏洞都可以在没有身份验证的情况下远程利用。
关键漏洞:
| CVE ID | 组件 | 协议 | CVSS基础分 | 受影响版本 |
|---|---|---|---|---|
| CVE-2024-21147 | Hotspot | 多种 | 7.4 | Java SE: 8u411, 11.0.23, 17.0.11, 21.0.3, 22.0.1 |
| CVE-2024-27983 | Node (Node.js) | HTTP/2 | 8.2 | GraalVM for JDK: 17.0.11, 21.0.3, 22.0.1 |
建议行动
- 立即评估:检查您环境中使用的Oracle产品版本是否在受影响列表中
- 优先排序:根据CVSS评分和您的环境关键性确定补丁应用优先级
- 测试部署:在生产环境部署前在测试环境中验证补丁
- 及时应用:尽快安排维护窗口应用关键安全补丁
- 监控更新:关注Oracle后续可能发布的相关安全更新
此关键补丁更新解决了多个高危漏洞,包括可能被远程利用而不需要认证的漏洞,建议所有使用受影响Oracle产品的组织立即采取行动。