Oracle 2025年1月关键补丁更新深度解析

本文详细介绍了Oracle 2025年1月关键补丁更新,包含318个安全补丁,涉及数据库、中间件、应用程序等多个产品线,涵盖了远程代码执行、权限提升等严重漏洞的修复方案。

Oracle 2025年1月关键补丁更新公告

描述

关键补丁更新是针对多个安全漏洞的补丁集合。这些补丁修复了Oracle代码和Oracle产品中包含的第三方组件中的漏洞。这些补丁通常是累积性的,但每个公告仅描述自上一个关键补丁更新公告以来新增的安全补丁。因此,应查阅之前的关键补丁更新公告以获取有关早期发布的安全补丁的信息。

Oracle持续收到关于恶意利用Oracle已发布安全补丁的漏洞的报告。在某些情况下,攻击者之所以成功,是因为目标客户未能应用可用的Oracle补丁。因此,Oracle强烈建议客户保持在主动支持的版本上,并立即应用关键补丁更新安全补丁。

此关键补丁更新包含以下产品系列的318个新安全补丁。

受影响产品和补丁信息

此关键补丁更新解决的安全漏洞影响以下列出的产品。

受影响产品和版本

数据库产品

  • Oracle Database Server 版本 19.1, 19.3-19.25, 21.3-21.16, 23.4-23.6
  • Oracle Application Express 版本 23.2, 24.1
  • Oracle GoldenGate 多个版本
  • Oracle REST Data Services 多个版本

中间件产品

  • Oracle WebLogic Server 版本 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0
  • Oracle HTTP Server 版本 12.2.1.4.0
  • Oracle Business Intelligence Enterprise Edition 多个版本

Java产品

  • Oracle Java SE 版本 8u431, 8u431-perf, 11.0.25, 17.0.13, 21.0.5, 23.0.1
  • Oracle GraalVM Enterprise Edition 多个版本

MySQL产品

  • MySQL Server 多个版本
  • MySQL Cluster 多个版本
  • MySQL Connectors 多个版本

应用程序产品

  • Oracle E-Business Suite 版本 12.2.3-12.2.14
  • Oracle PeopleSoft 多个版本
  • JD Edwards EnterpriseOne 多个版本
  • Oracle Fusion Cloud Applications 多个组件

风险矩阵内容

风险矩阵仅列出与此公告关联的补丁新解决的安全漏洞。之前安全补丁的风险矩阵可以在之前的关键补丁更新公告和警报中找到。

漏洞评分

安全漏洞使用CVSS 3.1版本进行评分。Oracle对每个由关键补丁更新解决的安全漏洞进行分析,但不会向客户披露此安全分析的详细信息。

第三方组件漏洞

在Oracle产品中包含但无法利用的第三方组件中的漏洞列在相应Oracle产品风险矩阵的下方。

解决方案

由于成功攻击构成的威胁,Oracle强烈建议客户尽快应用关键补丁更新安全补丁。在应用关键补丁更新补丁之前,可能可以通过阻止攻击所需的网络协议来降低成功攻击的风险。

支持的产品和版本

通过关键补丁更新程序发布的补丁仅提供给在终身支持策略的首选支持或扩展支持阶段覆盖的产品版本。

致谢

Oracle感谢以下个人或组织向Oracle报告了此关键补丁更新解决的安全漏洞:

  • Ahmed Shah of Malleum
  • Jie Liang of WingTecher Lab of Tsinghua University
  • 以及其他多位安全研究人员

关键补丁更新计划

关键补丁更新在1月、4月、7月和10月的第三个星期二发布。接下来的四个日期是:

  • 2025年4月15日
  • 2025年7月15日
  • 2025年10月21日
  • 2026年1月20日

技术细节

数据库产品风险矩阵

此关键补丁更新包含Oracle数据库产品的10个新安全补丁:

  • Oracle数据库服务器:5个新安全补丁
  • Oracle Application Express:1个新安全补丁
  • Oracle GoldenGate:2个新安全补丁
  • Oracle REST Data Services:1个新安全补丁
  • Oracle Secure Backup:1个新安全补丁

严重漏洞示例

  • CVE-2025-21535:Oracle WebLogic Server核心组件漏洞,CVSS评分9.8,可通过T3、IIOP协议远程利用
  • CVE-2024-45492:Oracle HTTP Server核心组件漏洞,CVSS评分9.8,可通过HTTP远程利用
  • CVE-2025-21547:Oracle Hospitality OPERA 5 Opera Servlet漏洞,CVSS评分9.1

建议操作

  1. 立即评估:检查您的环境是否使用受影响的产品和版本
  2. 测试补丁:在非生产环境中测试相关补丁
  3. 制定计划:制定生产环境补丁应用计划
  4. 优先处理:根据CVSS评分和业务影响确定补丁应用优先级
  5. 监控系统:应用补丁后密切监控系统稳定性

此更新包含了多个高危漏洞的修复,建议所有Oracle产品用户尽快安排补丁应用工作。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次