Oracle 关键补丁更新公告 - 2024年7月
描述
关键补丁更新是针对多个安全漏洞的补丁集合。这些补丁解决了Oracle代码和Oracle产品中包含的第三方组件中的漏洞。这些补丁通常是累积性的,但每个公告仅描述自上一个关键补丁更新公告以来新增的安全补丁。因此,应查阅之前的关键补丁更新公告以获取有关先前发布的安全补丁的信息。
Oracle持续定期收到关于恶意利用Oracle已发布安全补丁的漏洞的报告。在某些情况下,据报道攻击者之所以成功,是因为目标客户未能应用可用的Oracle补丁。因此,Oracle强烈建议客户保持在主动支持的版本上,并立即应用关键补丁更新安全补丁。
此关键补丁更新包含以下产品系列的386个新安全补丁。
受影响产品和补丁信息
此关键补丁更新解决的安全漏洞影响以下列出的产品。
| 受影响产品和版本 | 补丁可用性文档 |
|---|---|
| JD Edwards EnterpriseOne Orchestrator, 9.2.8.3之前版本 | JD Edwards |
| Oracle Database Server, 19.3-19.23, 21.3-21.14, 23.4 | Database |
| MySQL Server, 8.0.37及之前版本, 8.0.38, 8.2.0及之前版本, 8.3.0及之前版本, 8.4.0及之前版本, 8.4.1, 9.0.0 | MySQL |
| Oracle Java SE, 8u411, 8u411-perf, 11.0.23, 17.0.11, 21.0.3, 22.0.1 | Java SE |
| Oracle WebLogic Server, 12.2.1.4.0, 14.1.1.0.0 | Fusion Middleware |
风险矩阵内容
风险矩阵仅列出与此公告关联的补丁新解决的安全漏洞。先前安全补丁的风险矩阵可在之前的关键补丁更新公告和警报中找到。
此关键补丁更新中解决的几个漏洞影响多个产品。每个漏洞由CVE ID标识。影响多个产品的漏洞将在所有风险矩阵中以相同的CVE ID出现。
安全漏洞使用CVSS 3.1版进行评分。
解决方法
由于成功攻击构成的威胁,Oracle强烈建议客户尽快应用关键补丁更新安全补丁。在应用关键补丁更新补丁之前,可能可以通过阻止攻击所需的网络协议来降低成功攻击的风险。
跳过的关键补丁更新
Oracle强烈建议客户尽快应用安全补丁。对于跳过了一个或多个关键补丁更新并关注在此关键补丁更新中未宣布安全补丁的产品的客户,请查阅之前的关键补丁更新公告以确定适当的操作。
关键补丁更新支持的产品和版本
通过关键补丁更新程序发布的补丁仅适用于生命周期支持策略的首席支持或扩展支持阶段覆盖的产品版本。
致谢
以下人员或组织向Oracle报告了此关键补丁更新解决的安全漏洞:
- Antonin B of NATO Cyber Security Centre (NCSC)
- Boogipop
- Derek Schrock
- 以及其他多位安全研究人员
安全深度贡献者
Oracle感谢为我们的安全深度计划做出贡献的人员。
在线存在安全贡献者
Oracle感谢为我们的在线存在安全计划做出贡献的人员。
关键补丁更新时间表
关键补丁更新在1月、4月、7月和10月的第三个星期二发布。接下来的四个日期是:
- 2024年10月15日
- 2025年1月21日
- 2025年4月15日
- 2025年7月15日
修改历史
| 日期 | 备注 |
|---|---|
| 2024年9月18日 | Rev 3. 更新了Oracle Communications Performance Intelligence、Oracle Communications Cloud Native Core Security Edge Protection Proxy和Oracle Insurance Policy Administration J2EE的受影响版本 |
| 2024年7月24日 | Rev 2. 更正了额外的CVE列表并更新了致谢 |
| 2024年7月16日 | Rev 1. 初始发布 |
Oracle数据库产品风险矩阵
此关键补丁更新包含15个新的Oracle数据库产品安全补丁,分为以下几类:
- 8个新的Oracle数据库产品安全补丁
- 1个新的Oracle Application Express安全补丁
- 2个新的Oracle Essbase安全补丁
- 1个新的Oracle GoldenGate安全补丁
- 1个新的Oracle NoSQL Database安全补丁
- 1个新的Oracle REST Data Services安全补丁
- 1个新的Oracle TimesTen In-Memory Database安全补丁
Oracle数据库服务器风险矩阵
此关键补丁更新包含8个新的安全补丁,以及下面注明的额外第三方补丁。其中3个漏洞可以在没有身份验证的情况下远程利用。其中1个补丁适用于仅客户端安装。
| CVE ID | 组件 | 协议 | 可远程利用无认证? | CVSS基础分 | 受影响的支持版本 |
|---|---|---|---|---|---|
| CVE-2022-41881 | Fleet Patching and Provisioning (Netty) | HTTP | 是 | 7.5 | 23.4 |
| CVE-2024-21184 | Oracle Database RDBMS Security | Oracle Net | 否 | 7.2 | 19.3-19.23 |
| CVE-2024-21126 | Oracle Database Portable Clusterware | DNS | 是 | 5.8 | 19.3-19.23, 21.3-21.14 |
此关键补丁更新还包含针对各种Oracle产品系列的其他漏洞修复,包括Oracle Commerce、Oracle Communications Applications、Oracle E-Business Suite、Oracle Enterprise Manager、Oracle Financial Services Applications、Oracle Fusion Middleware等。
每个产品系列都有详细的风险矩阵,列出了具体的CVE ID、受影响组件、协议、CVSS评分和受影响版本。
建议行动
Oracle强烈建议所有客户立即应用此关键补丁更新中的补丁,以保护其系统免受已知安全漏洞的威胁。在应用补丁之前,应查看相关的补丁可用性文档以获取安装说明和先决条件信息。