Oracle 2025年1月关键补丁更新公告

描述

关键补丁更新是针对多个安全漏洞的补丁集合。这些补丁修复了Oracle代码和Oracle产品中包含的第三方组件中的漏洞。这些补丁通常是累积性的，但每个公告仅描述自上一个关键补丁更新公告以来新增的安全补丁。因此，应查阅之前的关键补丁更新公告以获取有关早期发布的安全补丁的信息。

Oracle持续收到关于恶意利用Oracle已发布安全补丁的漏洞的报告。在某些情况下，据报道攻击者已成功利用漏洞，原因是目标客户未能应用可用的Oracle补丁。因此，Oracle强烈建议客户保持使用受支持的版本，并无延迟地应用关键补丁更新安全补丁。

此关键补丁更新包含以下产品系列的318个新安全补丁。

受影响产品和补丁信息

此关键补丁更新解决的安全漏洞影响以下列出的产品。

主要受影响产品类别

数据库产品

• Oracle Database Server (19.1, 19.3-19.25, 21.3-21.16, 23.4-23.6)
• Oracle MySQL (多个版本)
• Oracle GoldenGate

中间件产品

• Oracle Fusion Middleware (12.2.1.4.0)
• Oracle WebLogic Server (12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0)
• Oracle HTTP Server

应用程序产品

• Oracle E-Business Suite (12.2.3-12.2.14)
• Oracle PeopleSoft (8.60, 8.61)
• Oracle JD Edwards
• Oracle Siebel CRM

云和虚拟化产品

• Oracle VM VirtualBox
• Oracle Solaris

风险矩阵内容

风险矩阵仅列出此公告相关补丁新解决的安全漏洞。使用CVSS 3.1版对安全漏洞进行评分。

关键漏洞示例

Oracle Database Server

• CVE-2023-52428: CVSS 7.5，可通过HTTP远程利用
• CVE-2022-26345: CVSS 6.7，需要认证用户权限

Oracle WebLogic Server

• CVE-2025-21535: CVSS 9.8，可通过T3、IIOP协议远程利用
• CVE-2024-47554: CVSS 7.5，影响多个版本

Oracle MySQL

• CVE-2024-11053: CVSS 9.1，影响curl组件
• CVE-2024-37371: CVSS 9.1，影响Kerberos组件

临时解决方案

由于成功攻击构成的威胁，Oracle强烈建议客户尽快应用关键补丁更新安全补丁。在应用关键补丁更新补丁之前，可以通过阻止攻击所需的网络协议来降低成功攻击的风险。

两种方法都可能破坏应用程序功能，因此Oracle强烈建议客户在非生产系统上测试更改。这两种方法都不应被视为长期解决方案，因为它们都不能纠正根本问题。

支持的产品和版本

通过关键补丁更新程序发布的补丁仅适用于终身支持策略的主要支持或扩展支持阶段涵盖的产品版本。Oracle建议客户规划产品升级，以确保通过关键补丁更新程序发布的补丁可用于他们当前运行的版本。

致谢声明

Oracle感谢以下个人或组织向Oracle报告了此关键补丁更新解决的安全漏洞：Ahmed Shah of Malleum、Alex Warren of Softsource vBridge、Arjun Giri of Green Tick Nepal Pvt. Ltd.等安全研究人员。

关键补丁更新计划

关键补丁更新在1月、4月、7月和10月的第三个星期二发布。接下来的四个日期是：

• 2025年4月15日
• 2025年7月15日
• 2025年10月21日
• 2026年1月20日

修改历史

• 2025年2月11日：Rev 2，更新CVE-2024-35195和CVE-2024-49766的版本信息
• 2025年1月21日：Rev 1，初始发布

此关键补丁更新涉及广泛的产品安全改进，建议所有Oracle用户及时评估并应用相关补丁，以确保系统安全。