Oracle 2025年4月关键补丁更新公告
描述
关键补丁更新是针对多个安全漏洞的补丁集合。这些补丁修复了Oracle代码及Oracle产品中包含的第三方组件中的漏洞。这些补丁通常是累积性的,但每个公告仅描述自上一个关键补丁更新公告以来新增的安全补丁。因此,应查阅之前的关键补丁更新公告以获取有关先前发布的安全补丁的信息。
Oracle持续收到关于恶意利用已发布安全补丁漏洞的报告。在某些情况下,攻击之所以成功是因为目标客户未能应用可用的Oracle补丁。因此,Oracle强烈建议客户保持在受支持的版本上,并立即应用关键补丁更新安全补丁。
本关键补丁更新包含以下产品系列的378个新安全补丁。
受影响产品和补丁信息
本关键补丁更新解决的安全漏洞影响以下列出的产品。
请点击下方"补丁可用文档"列中的链接以访问补丁可用性信息和安装说明的文档。
受影响产品和版本
| 受影响产品和版本 | 补丁可用文档 |
|---|---|
| Autonomous Health Framework, 版本 23.8.0-23.11.0, 24.1.0-24.11.0, 25.1.0, 25.2.0 | Oracle Autonomous Health Framework |
| GoldenGate Stream Analytics, 版本 19.1.0.0.0-19.1.0.0.10 | Database |
| JD Edwards EnterpriseOne Tools, 版本 9.2.0.0-9.2.9.2 | JD Edwards |
| Management Cloud Engine, 版本 24.3.0 | Management Cloud Engine |
| MySQL Client, 版本 8.0.0-8.0.41, 8.4.0-8.4.4, 9.0.0-9.2.0 | MySQL |
| MySQL Cluster, 版本 7.6.0-7.6.33, 8.0.0-8.0.41, 8.4.0-8.4.4, 9.0.0-9.2.0 | MySQL |
| MySQL Connectors, 版本 9.0.0-9.2.0 | MySQL |
| MySQL Enterprise Backup, 版本 8.0.0-8.0.41, 8.4.0-8.4.4, 9.0.0-9.2.0 | MySQL |
| MySQL Server, 版本 8.0.0-8.0.41, 8.4.0-8.4.4, 9.0.0-9.2.0 | MySQL |
| MySQL Shell, 版本 8.0.32-8.0.41, 8.4.0-8.4.4, 9.0.0-9.2.0 | MySQL |
| MySQL Workbench, 版本 8.0.0-8.0.41 | MySQL |
风险矩阵内容
风险矩阵仅列出与此公告关联的补丁新解决的安全漏洞。之前安全补丁的风险矩阵可在之前的关键补丁更新公告和警报中找到。
本关键补丁更新中解决的几个漏洞会影响多个产品。每个漏洞由CVE ID标识。影响多个产品的漏洞将在所有风险矩阵中以相同的CVE ID出现。
安全漏洞使用CVSS 3.1版本进行评分。
临时解决方案
由于成功攻击构成的威胁,Oracle强烈建议客户尽快应用关键补丁更新安全补丁。在应用关键补丁更新补丁之前,可以通过阻止攻击所需的网络协议来降低成功攻击的风险。对于需要某些权限或访问某些软件包的攻击,从不需要这些权限的用户中删除权限或访问软件包的能力可能有助于降低成功攻击的风险。这两种方法都可能破坏应用程序功能,因此Oracle强烈建议客户在非生产系统上测试更改。这两种方法都不应被视为长期解决方案,因为它们都不能纠正根本问题。
关键补丁更新支持的产品和版本
通过关键补丁更新程序发布的补丁仅适用于生命周期支持策略的Premier Support或Extended Support阶段涵盖的产品版本。Oracle建议客户计划产品升级,以确保通过关键补丁更新程序发布的补丁可用于他们当前运行的版本。
致谢
以下人员或组织向Oracle报告了本关键补丁更新解决的安全漏洞:
- Aamir Rehman Yousafzai: CVE-2025-30707, CVE-2025-30708
- Abhijit Gaikwad: CVE-2025-30737
- Ahmed Abbas: CVE-2025-30716, CVE-2025-30717
- 以及其他众多安全研究人员和组织
关键补丁更新计划
关键补丁更新在1月、4月、7月和10月的第三个星期二发布。接下来的四个日期是:
- 2025年7月15日
- 2025年10月21日
- 2026年1月20日
- 2026年4月21日
各产品风险矩阵摘要
Oracle数据库产品
包含17个新安全补丁,其中:
- 7个用于Oracle数据库产品
- 1个用于Oracle Autonomous Health Framework
- 4个用于Oracle GoldenGate
- 2个用于Oracle TimesTen In-Memory Database
Oracle通信产品
包含42个新安全补丁用于Oracle通信应用程序,35个可远程利用而无需身份验证。
Oracle电子商务套件
包含16个新安全补丁,11个可远程利用而无需身份验证。
Oracle Java SE
包含6个新安全补丁,5个可远程利用而无需身份验证。
Oracle MySQL
包含43个新安全补丁,2个可远程利用而无需身份验证。
修改历史
| 日期 | 备注 |
|---|---|
| 2025年4月21日 | Rev 2. Java版本更改和文档编号更改 |
| 2025年4月15日 | Rev 1. 初始发布 |