Oracle 关键补丁更新公告 - 2025年10月
描述
关键补丁更新是针对多个安全漏洞的补丁集合。这些补丁修复了Oracle代码和Oracle产品中包含的第三方组件中的漏洞。这些补丁通常是累积性的,但每个公告仅描述自上一个关键补丁更新公告以来新增的安全补丁。因此,应查阅之前的关键补丁更新公告以获取有关早期发布的安全补丁的信息。
Oracle持续收到关于恶意利用Oracle已发布安全补丁的漏洞的报告。在某些情况下,据报道攻击者已成功利用,原因是目标客户未能应用可用的Oracle补丁。因此,Oracle强烈建议客户保持使用受支持的版本,并立即应用关键补丁更新安全补丁。
此关键补丁更新包含以下产品系列的374个新安全补丁。请注意,总结此关键补丁更新内容和其他Oracle软件安全保障活动的MOS说明位于《2025年10月关键补丁更新:执行摘要和分析》。
请注意,自2025年7月关键补丁更新发布以来,Oracle已发布针对Oracle电子商务套件的安全警报CVE-2025-61882(2025年10月4日)和CVE-2025-61884(2025年10月11日)。强烈建议客户应用2025年10月关键补丁更新以获取Oracle电子商务套件,其中包含针对这些警报的补丁以及其他补丁。
受影响产品和补丁信息
此关键补丁更新解决的安全漏洞影响以下列出的产品。
请点击下面"补丁可用文档"列中的链接以访问补丁可用性信息和安装说明的文档。
受影响产品和版本
| 受影响产品和版本 | 补丁可用文档 |
|---|---|
| Enterprise Manager Base Platform, 版本 13.5, 24.1 | Oracle Enterprise Manager |
| GoldenGate Stream Analytics, 版本 19.1.0.0.0-19.1.0.0.9 | Database |
| Identity Manager, 版本 12.2.1.4.0, 14.1.2.1.0 | Fusion Middleware |
| JD Edwards EnterpriseOne Orchestrator, 版本 9.2.0.0-9.2.9.4 | JD Edwards |
| JD Edwards EnterpriseOne Tools, 版本 9.2.0.0-9.2.9.4 | JD Edwards |
| Management Cloud Engine, 版本 25.1.0.0.0 | Management Cloud Engine |
| Management Pack for Oracle GoldenGate, 版本 12.2.1.2.0 | Database |
| MySQL Cluster, 版本 8.0.0-8.0.43, 8.4.0-8.4.6, 9.0.0-9.4.0 | MySQL |
| MySQL Enterprise Backup, 版本 8.0.0-8.0.42, 8.4.0-8.4.5, 9.0.0-9.3.0 | MySQL |
| MySQL Server, 版本 8.0.0-8.0.43, 8.4.0-8.4.6, 9.0.0-9.4.0 | MySQL |
| MySQL Shell, 版本 8.0.40-8.0.43, 8.4.3-8.4.6, 9.1.0-9.4.0 | MySQL |
| MySQL Workbench, 版本 8.0.0-8.0.43 | MySQL |
风险矩阵内容
风险矩阵仅列出与此公告关联的补丁新解决的安全漏洞。之前安全补丁的风险矩阵可在之前的关键补丁更新公告和警报中找到。本文档中提供的风险矩阵的英文文本版本在此处。
此关键补丁更新中解决的几个漏洞影响多个产品。每个漏洞由CVE ID标识。影响多个产品的漏洞将在所有风险矩阵中以相同的CVE ID出现。
安全漏洞使用CVSS 3.1版本进行评分(参见Oracle CVSS评分以了解Oracle如何应用CVSS 3.1版本)。
Oracle对关键补丁更新解决的每个安全漏洞进行分析。Oracle不会向客户披露此安全分析的详细信息,但由此产生的风险矩阵和相关文档提供了有关利用漏洞所需条件和成功利用的潜在影响的信息。Oracle提供此信息是为了让客户可以根据其产品使用的具体情况自行进行风险分析。有关更多信息,请参阅Oracle漏洞披露政策。
第三方组件中不可通过包含在Oracle产品中被利用的漏洞列在相应Oracle产品风险矩阵的下方。从2023年7月关键补丁更新开始,还提供了VEX理由。
风险矩阵中的协议意味着其所有安全变体也受到影响。例如,如果HTTP列为受影响协议,则意味着HTTPS也受影响。仅当安全变体是唯一受影响的变体时,才会在风险矩阵中列出安全协议变体。
解决方法
由于成功攻击构成的威胁,Oracle强烈建议客户尽快应用关键补丁更新安全补丁。在应用关键补丁更新补丁之前,可能可以通过阻止攻击所需的网络协议来降低成功攻击的风险。对于需要某些权限或访问某些包的攻击,从不需要这些权限的用户中删除权限或访问包的能力可能有助于降低成功攻击的风险。两种方法都可能破坏应用程序功能,因此Oracle强烈建议客户在非生产系统上测试更改。两种方法都不应被视为长期解决方案,因为它们都不能纠正根本问题。
跳过的关键补丁更新
Oracle强烈建议客户尽快应用安全补丁。对于跳过了一个或多个关键补丁更新并关注未在此关键补丁更新中宣布安全补丁的产品的客户,请查阅之前的关键补丁更新公告以确定适当的操作。
关键补丁更新支持的产品和版本
通过关键补丁更新程序发布的补丁仅提供给生命周期支持策略的Premier Support或Extended Support阶段覆盖的产品版本。Oracle建议客户计划产品升级,以确保通过关键补丁更新程序发布的补丁可用于他们当前运行的版本。
未处于Premier Support或Extended Support下的产品版本不会测试是否存在此关键补丁更新解决的漏洞。但是,受影响版本的早期版本很可能也受这些漏洞影响。因此,Oracle建议客户升级到受支持的版本。
数据库、Fusion Middleware和Oracle Enterprise Manager产品根据软件错误纠正支持策略进行修补,该策略进一步补充了生命周期支持策略,如My Oracle Support说明209768.1中所述。请查看技术支持策略以获取有关支持策略和支持阶段的进一步指南。
致谢声明
以下个人或组织向Oracle报告了此关键补丁更新解决的安全漏洞:
- Adam Kues of Assetnote: CVE-2025-61757
- Andrey Chizhov: CVE-2025-61760, CVE-2025-62592
- Arjun Basnet: CVE-2025-53063
- Chan Yiu Tsoi of Maximus Consulting (HK) Ltd: CVE-2025-61763
- Darius Bohni of 442 Security GmbH: CVE-2025-53066
深度安全贡献者
Oracle感谢为我们的深度安全计划做出贡献的人员(参见FAQ)。如果人员提供的信息、观察或建议导致在未来版本中显著修改Oracle代码或文档,但不是关键性质以至于在关键补丁更新中分发,则他们因深度安全贡献而受到认可。
在此关键补丁更新中,Oracle认可以下人员对Oracle深度安全计划的贡献:
- Arjun Basnet
- Dan Siviter
- Jaikey Sarraf
- Nagma Lamabama
- Nathaniel Oh
- Simon Camilleri of Yubico
- Yakov Shafranovich of Amazon Web Services
在线存在安全贡献者
Oracle感谢为我们的在线存在安全计划做出贡献的人员(参见FAQ)。如果人员提供的信息、观察或建议导致对Oracle在线外部面向系统进行重大修改的安全相关问题,则他们因在线存在安全贡献而受到认可。
对于本季度,Oracle认可以下人员对Oracle在线存在安全计划的贡献:
- Aastik Gakhar
- Abdelrahman Shazly
- Abdulrahman Albatel
- Achraf Battou (40rbidd3n)
- Ahmad Alassaf of Theviperxx Sy
关键补丁更新计划
关键补丁更新在1月、4月、7月和10月的第三个星期二发布。接下来的四个日期是:
- 2026年1月20日
- 2026年4月21日
- 2026年7月21日
- 2026年10月20日
参考
- Oracle关键补丁更新、安全警报和公告
- 关键补丁更新 - 2025年10月文档映射
- Oracle关键补丁更新和安全警报 - 常见问题解答
- 风险矩阵定义
- Oracle对通用漏洞评分系统(CVSS)的使用
- 风险矩阵的英文文本版本
- 风险矩阵的CSAF JSON版本
- CVE到公告/警报的映射
- Oracle生命周期支持策略
- JEP 290参考阻止列表过滤器
修改历史
| 日期 | 说明 |
|---|---|
| 2025年10月21日 | Rev 1. 初始发布。 |