Oracle 2025年10月关键补丁更新公告
描述
关键补丁更新是针对多个安全漏洞的补丁集合。这些补丁解决了Oracle代码和Oracle产品中包含的第三方组件中的漏洞。这些补丁通常是累积性的,但每个公告仅描述自上一个关键补丁更新公告以来新增的安全补丁。
Oracle持续收到关于恶意利用已发布安全补丁漏洞的报告。在某些情况下,攻击之所以成功是因为目标客户未能应用可用的Oracle补丁。因此,Oracle强烈建议客户保持使用受支持的版本并无延迟地应用关键补丁更新安全补丁。
此关键补丁更新包含以下产品系列的374个新安全补丁。
受影响产品和补丁信息
此关键补丁更新解决的安全漏洞影响以下列出的产品。
受影响产品和版本
| 产品 | 版本 | 补丁可用性文档 |
|---|---|---|
| Enterprise Manager Base Platform | 13.5, 24.1 | Oracle Enterprise Manager |
| GoldenGate Stream Analytics | 19.1.0.0.0-19.1.0.0.9 | Database |
| Identity Manager | 12.2.1.4.0, 14.1.2.1.0 | Fusion Middleware |
| JD Edwards EnterpriseOne Orchestrator | 9.2.0.0-9.2.9.4 | JD Edwards |
| MySQL Server | 8.0.0-8.0.43, 8.4.0-8.4.6, 9.0.0-9.4.0 | MySQL |
| Oracle Database Server | 19.3-19.28, 21.3-21.19, 23.4-23.9 | Database |
| Oracle E-Business Suite | 12.2.3-12.2.14 | Oracle E-Business Suite |
| Oracle Java SE | 8u461, 8u461-b50, 8u461-perf, 11.0.28, 17.0.16, 21.0.8, 25 | Java SE |
| Oracle WebLogic Server | 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0 | Fusion Middleware |
风险矩阵内容
风险矩阵仅列出与此公告关联的补丁新解决的安全漏洞。
Oracle数据库产品风险矩阵
此关键补丁更新包含Oracle数据库产品的18个新安全补丁:
- 6个新的Oracle数据库产品安全补丁
- 4个新的Oracle Essbase安全补丁
- 6个新的Oracle GoldenGate安全补丁
- 1个新的Oracle Graph Server and Client安全补丁
- 1个新的Oracle REST Data Services安全补丁
Oracle数据库服务器风险矩阵
此关键补丁更新包含6个新安全补丁,其中2个漏洞可在无需身份验证的情况下远程利用。
| CVE ID | 组件 | 协议 | 可远程利用无认证? | CVSS 3.1基础分 | 受影响版本 |
|---|---|---|---|---|---|
| CVE-2025-4517 | RDBMS (Python) | 无 | 否 | 7.3 | 21.3-21.19, 23.4-23.9 |
| CVE-2025-61881 | Java VM | Oracle Net | 是 | 5.9 | 19.3-19.28, 21.3-21.19, 23.4-23.9 |
| CVE-2025-53047 | Portable Clusterware | Bonjour | 是 | 5.8 | 19.3-19.28, 21.3-21.19, 23.4-23.9 |
解决方案
由于成功攻击构成的威胁,Oracle强烈建议客户尽快应用关键补丁更新安全补丁。在应用关键补丁更新补丁之前,可能可以通过阻止攻击所需的网络协议来降低成功攻击的风险。
支持的产品和版本
通过关键补丁更新程序发布的补丁仅提供给处于终身支持策略的首要支持或扩展支持阶段的产品版本。
致谢
Oracle感谢以下人员或组织向Oracle报告了此关键补丁更新解决的安全漏洞:Adam Kues of Assetnote、Andrey Chizhov、Arjun Basnet等安全研究人员。
关键补丁更新计划
关键补丁更新在1月、4月、7月和10月的第三个星期二发布。接下来的四个日期是:
- 2026年1月20日
- 2026年4月21日
- 2026年7月21日
- 2026年10月20日