Oracle 2025年7月关键补丁更新公告深度解析

本文详细解读了Oracle发布的2025年7月关键补丁更新公告,涵盖了309个安全漏洞的修复情况,包括Oracle数据库、中间件、Java SE、MySQL等多款产品的风险矩阵与具体补丁信息。文章重点关注了可被远程利用的高危漏洞,并提供了必要的缓解措施建议,是企业IT和安全管理人员的重要参考。

Oracle 关键补丁更新公告 - 2025年7月

描述

关键补丁更新是一个针对多个安全漏洞的补丁集合。这些补丁用于修复Oracle代码以及Oracle产品中包含的第三方组件中的漏洞。这些补丁通常是累积性的,但每次公告仅描述自上次关键补丁更新公告以来新增的安全补丁。因此,应查阅之前的关键补丁更新公告以获取关于早期发布的安全补丁的信息。有关Oracle安全公告的信息,请参阅“关键补丁更新、安全警报和公告”。 Oracle持续收到关于恶意利用Oracle已发布安全补丁的漏洞的报告。在某些情况下,据报告攻击者之所以成功,是因为目标客户未能应用可用的Oracle补丁。因此,Oracle强烈建议客户保持使用受积极支持的版本,并立即应用关键补丁更新的安全补丁。 此关键补丁更新包含以下列出的产品系列中的309个新安全补丁。请注意,总结此关键补丁更新内容和其他Oracle软件安全保障活动的MOS说明位于2025年7月关键补丁更新:执行摘要和分析

受影响产品和补丁信息

此关键补丁更新解决的安全漏洞影响下列产品。 请点击下表“补丁可用性文档”列中的链接以访问补丁可用性信息和安装说明的文档。

  • 自主健康框架,版本 24.11.0-25.4.0
  • JD Edwards EnterpriseOne 工具,版本 9.2.0.0-9.2.9.3
  • JD Edwards World Security,版本 A9.4
  • MySQL 客户端,版本 8.0.0-8.0.42, 8.4.0-8.4.5, 9.0.0-9.3.0
  • MySQL 集群,版本 7.6.0-7.6.34, 8.0.0-8.0.42, 8.4.0-8.4.5, 9.0.0-9.3.0
  • MySQL 企业备份,版本 8.0.0-8.0.42, 8.4.0-8.4.5, 9.0.0-9.3.0
  • MySQL 服务器,版本 8.0.0-8.0.42, 8.4.0-8.4.5, 9.0.0-9.3.0
  • MySQL Workbench,版本 8.0.0-8.0.42
  • Oracle Agile 工程数据管理,版本 6.2.1
  • Oracle Agile PLM,版本 9.3.6
  • Oracle Application Express,版本 24.2.4, 24.2.5
  • Oracle Application Testing Suite,版本 13.3.0.1
  • Oracle AutoVue,版本 21.0.2, 21.1.0
  • Oracle Banking Origination,版本 14.4.0.0.0-14.7.0.0.0
  • Oracle BI Publisher,版本 7.6.0.0.0, 8.2.0.0.0, 12.2.1.4.0
  • Oracle Blockchain Platform,版本 21.4.3, 24.1.3
  • Oracle Business Intelligence Enterprise Edition,版本 7.6.0.0.0, 8.2.0.0.0, 12.2.1.4.0
  • Oracle Business Process Management Suite,版本 12.2.1.4.0, 14.1.2.0.0
  • Oracle Coherence,版本 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0
  • Oracle Commerce Guided Search,版本 11.4.0
  • Oracle Commerce Guided Search Platform Services,版本 11.4.0
  • Oracle Communications 产品系列(包括计费与收入管理、云原生核心组件、会话边界控制器等数十种产品及其多个版本)
  • Oracle Database Server,版本 19.3-19.27, 21.3-21.18, 23.4-23.8
  • Oracle E-Business Suite,版本 12.2.3-12.2.14
  • Oracle Enterprise Communications Broker,版本 4.1.0, 4.2.0, 5.0.0
  • Oracle Enterprise Data Quality,版本 12.2.1.4.0, 14.1.2.0.0
  • Oracle Essbase,版本 21.7.2.0.0
  • Oracle Financial Services 产品系列(包括分析应用程序基础设施、行为检测平台等)
  • Oracle Fusion Middleware,版本 14.1.2.0.0
  • Oracle GoldenGate 产品系列(包括大数据和应用适配器、流分析等)
  • Oracle GraalVM Enterprise Edition,版本 21.3.14
  • Oracle GraalVM for JDK,版本 17.0.15, 21.0.7, 24.0.1
  • Oracle Graph Server and Client,版本 24.4.1, 25.1.0
  • Oracle Healthcare Master Person Index,版本 5.0.0.0-5.0.9.2
  • Oracle Hospitality Cruise Shipboard Property Management System,版本 23.1.4, 23.2.2
  • Oracle HTTP Server,版本 12.2.1.4.0, 14.1.2.0.0
  • Oracle Hyperion Financial Reporting,版本 11.2.20.0.0
  • Oracle Hyperion Infrastructure Technology,版本 11.2.21.0.0
  • Oracle Identity Manager,版本 12.2.1.4.0
  • Oracle Insurance Policy Administration J2EE,版本 11.3.0-12.0.4
  • Oracle Java SE,版本 8u451, 8u451-b50, 8u451-perf, 11.0.27, 17.0.15, 21.0.7, 24.0.1
  • Oracle JDeveloper,版本 14.1.2.0.0
  • Oracle Managed File Transfer,版本 12.2.1.4.0
  • Oracle Middleware Common Libraries and Tools,版本 12.2.1.4.0, 14.1.2.0.0
  • Oracle NoSQL Database,版本 22.3.51, 23.1.38, 24.4.9
  • Oracle Outside In Technology,版本 8.5.7
  • Oracle Product Lifecycle Analytics,版本 3.6.1
  • Oracle REST Data Services,版本 24.2.0, 24.4, 25.1.0
  • Oracle Retail 产品系列(包括 EFTLink、集成总线、Xstore 等)
  • Oracle Service Bus,版本 12.2.1.4.0
  • Oracle Spatial Studio,版本 24.1.0
  • Oracle TimesTen In-Memory Database,版本 18.1.4.52.0, 22.1.1.32.0
  • Oracle Utilities 产品系列(包括应用框架、网络管理系统等)
  • Oracle VM VirtualBox,版本 7.1.10
  • Oracle WebCenter Enterprise Capture,版本 12.2.1.4.0
  • Oracle WebCenter Portal,版本 12.2.1.4.0
  • Oracle WebLogic Server,版本 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0
  • PeopleSoft 产品系列(包括 HCM、PeopleTools 等)
  • Primavera P6 Enterprise Project Portfolio Management,版本 20.12.0-20.12.21 等
  • Primavera Unifier,版本 20.12.0-20.12.16 等
  • Siebel Applications,版本 25.0-25.5

风险矩阵内容

风险矩阵仅列出了与此公告相关的补丁新解决的安全漏洞。之前安全补丁的风险矩阵可在之前的关键补丁更新公告和警报中找到。本文档中提供的风险矩阵的英文文本版本位于此处。 此关键补丁更新中解决的若干漏洞影响多个产品。每个漏洞由 CVE ID 标识。影响多个产品的漏洞将在所有风险矩阵中以相同的 CVE ID 出现。 安全漏洞使用 CVSS 3.1 版进行评分(请参阅 Oracle CVSS 评分 了解 Oracle 如何应用 CVSS 3.1 版)。 Oracle 对关键补丁更新解决的每个安全漏洞进行分析。Oracle 不向客户披露此安全分析的详细信息,但由此产生的风险矩阵和相关文档提供了有关利用漏洞所需的条件以及成功利用的潜在影响的信息。Oracle 提供此信息,以便客户可以根据其产品使用的具体情况自行进行风险分析。有关更多信息,请参阅 Oracle 漏洞披露政策。 包含在 Oracle 产品中但无法被利用的第三方组件漏洞列在相应 Oracle 产品风险矩阵的下方。从 2023 年 7 月关键补丁更新开始,还提供了 VEX 理由。 风险矩阵中列出的协议意味着其所有安全变体也受到影响。例如,如果 HTTP 被列为受影响协议,则意味着 HTTPS 也受影响。仅当协议的变体是唯一受影响的变体时,才会在风险矩阵中列出该协议的安全变体。

缓解措施

由于成功攻击带来的威胁,Oracle 强烈建议客户尽快应用关键补丁更新安全补丁。在您应用关键补丁更新补丁之前,通过阻止攻击所需的网络协议可能会降低成功攻击的风险。对于需要特定权限或访问特定软件包的攻击,从未不需要这些权限的用户中移除权限或访问软件包的能力可能有助于降低成功攻击的风险。这两种方法都可能会破坏应用程序功能,因此 Oracle 强烈建议客户在非生产系统上测试更改。这两种方法都不应被视为长期解决方案,因为它们都不能纠正根本问题。

跳过的关键补丁更新

Oracle 强烈建议客户尽快应用安全补丁。对于已跳过一个或多个关键补丁更新且关注未在此关键补丁更新中宣布安全补丁的产品的客户,请查阅之前的关键补丁更新公告以确定适当的措施。

关键补丁更新支持的产品和版本

通过关键补丁更新计划发布的补丁仅适用于处于生命周期支持政策的“首要支持”或“扩展支持”阶段的产品版本。Oracle 建议客户规划产品升级,以确保通过关键补丁更新计划发布的补丁可用于他们当前运行的版本。 不在首要支持或扩展支持下的产品版本未针对此关键补丁更新解决的漏洞进行测试。但是,受影响版本的早期版本很可能也受这些漏洞影响。因此,Oracle 建议客户升级到受支持的版本。 数据库、融合中间件和 Oracle Enterprise Manager 产品的修补符合软件错误更正支持政策,该政策进一步补充了生命周期支持政策,如 My Oracle Support 说明 209768.1 中所述。请查看技术支持政策以获取有关支持政策和支持阶段的进一步指南。

致谢声明

以下人员或组织向 Oracle 报告了此关键补丁更新解决的安全漏洞:(名单略

深度安全贡献者

Oracle 感谢为我们的“深度安全”计划做出贡献的人员(参见常见问题解答)。如果人们提供的信息、观察结果或建议涉及安全问题,导致未来版本中 Oracle 代码或文档的重大修改,但性质不够严重,未在关键补丁更新中分发,则会因其深度安全贡献而受到表彰。 在此关键补丁更新中,Oracle 认可以下人员对 Oracle 深度安全计划的贡献:

  • Shaun Spiller
  • Vedant Roy

在线状态安全贡献者

Oracle 感谢为我们的“在线状态安全”计划做出贡献的人员(参见常见问题解答)。如果人们提供的信息、观察结果或建议涉及与安全相关的问题,导致对 Oracle 在线外部系统的重大修改,则会因其与 Oracle 在线状态相关的贡献而受到表彰。 对于本季度,Oracle 认可以下人员对 Oracle 在线状态安全计划的贡献:(名单略

关键补丁更新时间表

关键补丁更新于 1 月、4 月、7 月和 10 月的第三个星期二发布。接下来的四个日期是:

  • 2025 年 10 月 21 日
  • 2026 年 1 月 20 日
  • 2026 年 4 月 21 日
  • 2026 年 7 月 21 日

参考

  • Oracle 关键补丁更新、安全警报和公告
  • 关键补丁更新 - 2025 年 7 月文档地图
  • Oracle 关键补丁更新和安全警报 - 常见问题解答
  • 风险矩阵定义
  • Oracle 对通用漏洞评分系统 (CVSS) 的使用
  • 风险矩阵的英文文本版本
  • 风险矩阵的 CSAF JSON 版本
  • CVE 到公告/警报的映射
  • Oracle 生命周期支持政策
  • JEP 290 参考阻止列表过滤器

修改历史

日期 说明
2025年7月28日 Rev 4. 更新了 CVE-2025-30751 的 Oracle 数据库受影响版本
2025年7月23日 Rev 3. 添加了对 CVE-2025-50059 的致谢
2025年7月16日 Rev 2. 更新了 CVE-2025-50064 的致谢名称,并更新了 CVE-2025-50063 的 Java 受影响版本
2025年7月15日 Rev 1. 初始发布。

风险矩阵摘要(精选)

公告为每个产品系列提供了详细的风险矩阵表格。以下是部分产品系列的风险矩阵概况:

Oracle 数据库服务器风险矩阵

此关键补丁更新包含 6 个 新安全补丁。这些漏洞均无法在无需身份验证的情况下被远程利用(即,都需要用户凭证)。

  • 最高 CVSS 3.1 基础评分为 8.8 (CVE-2025-30751),影响 Oracle 数据库组件。
  • 1 个 补丁适用于仅客户端安装。

Oracle Java SE 风险矩阵

此关键补丁更新包含 11 个 新安全补丁。10 个 漏洞可能无需身份验证即可被远程利用。

  • 最高 CVSS 3.1 基础评分为 8.6 (CVE-2025-50059),影响网络组件。
  • 多个漏洞影响 Java 插件和 Web Start 部署。

Oracle MySQL 风险矩阵

此关键补丁更新包含 40 个 新安全补丁。3 个 漏洞可能无需身份验证即可被远程利用。

  • 最高 CVSS 3.1 基础评分为 7.8 (CVE-2024-9287,本地利用) 和 7.5 (CVE-2025-32415,远程利用),均影响 MySQL Workbench。

Oracle Fusion Middleware 风险矩阵

此关键补丁更新包含 36 个 新安全补丁。22 个 漏洞可能无需身份验证即可被远程利用。

  • 最高 CVSS 3.1 基础评分为 9.8 (CVE-2025-31651,影响 Oracle Managed File Transfer 中的 Apache Tomcat)。

Oracle WebLogic Server 风险矩阵(作为 Fusion Middleware 一部分)

包含多个高危漏洞,例如 CVE-2025-30762 (CVSS 7.5),可通过 T3/IIOP 协议远程利用。

Oracle 通信应用与通信产品风险矩阵

这两个类别合计包含 113 个 新安全补丁,其中超过 50 个 可能无需身份验证即可被远程利用,涉及大量云原生核心组件。

Oracle E-Business Suite 风险矩阵

包含 9 个 新安全补丁,其中 3 个 可能无需身份验证即可被远程利用。

建议

  1. 立即评估:根据上述受影响产品列表,识别您环境中使用的 Oracle 产品及其版本。
  2. 优先级排序:重点关注风险矩阵中 CVSS 评分高(特别是 7.0 以上)、且可被远程利用无需认证(Remote Exploit without Auth.? 列为 Yes)的漏洞。
  3. 应用补丁:遵循 Oracle 提供的补丁可用性文档,尽快在测试环境中验证并安排生产环境补丁安装。
  4. 缓解措施:在无法立即打补丁的情况下,考虑实施公告中提到的缓解措施,如网络隔离、权限最小化等,并充分测试其对业务功能的影响。
  5. 保持更新:关注 Oracle 安全公告,并遵循定期的补丁更新周期。
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次