Oracle关键补丁更新公告 - 2025年4月
描述
关键补丁更新是针对多个安全漏洞的补丁集合。这些补丁解决了Oracle代码和Oracle产品中包含的第三方组件中的漏洞。这些补丁通常是累积性的,但每个公告仅描述自上一个关键补丁更新公告以来新增的安全补丁。因此,应查阅之前的关键补丁更新公告以获取有关早期发布的安全补丁的信息。
Oracle持续收到关于恶意利用已发布安全补丁漏洞的报告。在某些情况下,攻击者之所以成功,是因为目标客户未能应用可用的Oracle补丁。因此,Oracle强烈建议客户保持使用受支持的版本,并立即应用关键补丁更新安全补丁。
此关键补丁更新包含以下产品系列的378个新安全补丁。
受影响产品和补丁信息
此关键补丁更新解决的安全漏洞影响以下列出的产品。
受影响产品和版本
| 受影响产品和版本 | 补丁可用性文档 |
|---|---|
| Autonomous Health Framework, 版本 23.8.0-23.11.0, 24.1.0-24.11.0, 25.1.0, 25.2.0 | Oracle Autonomous Health Framework |
| GoldenGate Stream Analytics, 版本 19.1.0.0.0-19.1.0.0.10 | Database |
| JD Edwards EnterpriseOne Tools, 版本 9.2.0.0-9.2.9.2 | JD Edwards |
| Management Cloud Engine, 版本 24.3.0 | Management Cloud Engine |
| MySQL Client, 版本 8.0.0-8.0.41, 8.4.0-8.4.4, 9.0.0-9.2.0 | MySQL |
| MySQL Cluster, 版本 7.6.0-7.6.33, 8.0.0-8.0.41, 8.4.0-8.4.4, 9.0.0-9.2.0 | MySQL |
| MySQL Connectors, 版本 9.0.0-9.2.0 | MySQL |
| MySQL Enterprise Backup, 版本 8.0.0-8.0.41, 8.4.0-8.4.4, 9.0.0-9.2.0 | MySQL |
| MySQL Server, 版本 8.0.0-8.0.41, 8.4.0-8.4.4, 9.0.0-9.2.0 | MySQL |
| MySQL Shell, 版本 8.0.32-8.0.41, 8.4.0-8.4.4, 9.0.0-9.2.0 | MySQL |
| MySQL Workbench, 版本 8.0.0-8.0.41 | MySQL |
| Oracle Access Manager, 版本 12.2.1.4.0 | Fusion Middleware |
| Oracle Agile Engineering Data Management, 版本 6.2.1 | Oracle Supply Chain Products |
| Oracle Application Express, 版本 23.2.15, 23.2.16, 24.1.9, 24.1.10, 24.2.3, 24.2.4 | Database |
| Oracle Application Testing Suite, 版本 13.3.0.1 | Oracle Enterprise Manager |
| Oracle Banking APIs, 版本 21.1.0.0.0, 22.1.0.0.0, 22.2.0.0.0 | 联系支持 |
| Oracle Banking Corporate Lending Process Management, 版本 14.5.0.0.0-14.7.0.0.0 | 联系支持 |
| Oracle Banking Digital Experience, 版本 21.1.0.0.0, 22.1.0.0.0, 22.2.0.0.0 | 联系支持 |
| Oracle Banking Liquidity Management, 版本 14.7.0.7.0 | 联系支持 |
| Oracle Banking Origination, 版本 14.5.0.0.0-14.7.0.0.0 | 联系支持 |
| Oracle BI Publisher, 版本 7.6.0.0.0, 12.2.1.4.0 | Oracle Analytics |
| Oracle Business Activity Monitoring, 版本 14.1.2.0.0 | Fusion Middleware |
| Oracle Business Intelligence Enterprise Edition, 版本 7.6.0.0.0, 12.2.1.4.0 | Oracle Analytics |
| Oracle Business Process Management Suite, 版本 12.2.1.4.0, 14.1.2.0.0 | Fusion Middleware |
| Oracle Coherence, 版本 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0 | Fusion Middleware |
| Oracle Commerce Guided Search, 版本 11.3.2, 11.4.0 | Oracle Commerce |
| Oracle Commerce Merchandising, 版本 11.3.0, 11.3.1, 11.3.2 | Oracle Commerce |
| Oracle Commerce Platform, 版本 11.3.0, 11.3.1, 11.3.2, 11.4.0 | Oracle Commerce |
(此处省略了部分产品列表以保持简洁)
风险矩阵内容
风险矩阵仅列出与此公告关联的补丁新解决的安全漏洞。之前安全补丁的风险矩阵可以在之前的关键补丁更新公告和警报中找到。
此关键补丁更新中解决的几个漏洞影响多个产品。每个漏洞由CVE ID标识。影响多个产品的漏洞将在所有风险矩阵中以相同的CVE ID出现。
安全漏洞使用CVSS 3.1版本进行评分。
解决方法
由于成功攻击构成的威胁,Oracle强烈建议客户尽快应用关键补丁更新安全补丁。在应用关键补丁更新补丁之前,可能可以通过阻止攻击所需的网络协议来降低成功攻击的风险。
跳过的关键补丁更新
Oracle强烈建议客户尽快应用安全补丁。对于跳过了一个或多个关键补丁更新并关注在此关键补丁更新中未宣布安全补丁的产品的客户,请查阅之前的关键补丁更新公告以确定适当的操作。
关键补丁更新支持的产品和版本
通过关键补丁更新程序发布的补丁仅适用于在终身支持策略的首要支持或扩展支持阶段覆盖的产品版本。
致谢声明
以下人员或组织向Oracle报告了此关键补丁更新解决的安全漏洞:
- Aamir Rehman Yousafzai: CVE-2025-30707, CVE-2025-30708
- Abhijit Gaikwad: CVE-2025-30737
- Ahmed Abbas: CVE-2025-30716, CVE-2025-30717
- (此处省略了部分致谢列表以保持简洁)
深入安全贡献者
Oracle感谢为我们的深入安全计划做出贡献的人员。
在线存在安全贡献者
Oracle感谢为我们的在线存在安全计划做出贡献的人员。
关键补丁更新时间表
关键补丁更新在1月、4月、7月和10月的第三个星期二发布。接下来的四个日期是:
- 2025年7月15日
- 2025年10月21日
- 2026年1月20日
- 2026年4月21日
修改历史
| 日期 | 备注 |
|---|---|
| 2025年4月21日 | Rev 2. Java版本更改和文档编号更改 |
| 2025年4月15日 | Rev 1. 初始发布 |
各产品风险矩阵摘要
Oracle数据库产品
此关键补丁更新包含17个新的Oracle数据库产品安全补丁,包括:
- 7个新的Oracle数据库服务器安全补丁
- 1个新的Oracle Autonomous Health Framework安全补丁
- 4个新的Oracle GoldenGate安全补丁
- 1个新的Oracle Graph Server and Client安全补丁
Oracle通信产品
- Oracle通信应用程序:42个新安全补丁
- Oracle通信:103个新安全补丁
其他重要产品
- Oracle E-Business Suite:16个新安全补丁
- Oracle Fusion Middleware:31个新安全补丁
- Oracle Java SE:6个新安全补丁
- Oracle MySQL:43个新安全补丁
此关键补丁更新涉及广泛的技术组件和协议,包括HTTP、Oracle Net、TLS等,影响多个产品系列的机密性、完整性和可用性。Oracle强烈建议所有受影响产品的用户立即查看完整公告并应用相关补丁。