Oracle 2025年7月关键补丁更新公告

描述

关键补丁更新是针对多个安全漏洞的补丁集合。这些补丁修复了Oracle代码和Oracle产品中包含的第三方组件中的漏洞。这些补丁通常是累积性的，但每个公告仅描述自上一个关键补丁更新公告以来新增的安全补丁。因此，应查阅之前的关键补丁更新公告以获取有关先前发布的安全补丁的信息。

Oracle持续定期收到关于恶意利用Oracle已发布安全补丁的漏洞的报告。在某些情况下，据报道攻击者已成功利用，原因是目标客户未能应用可用的Oracle补丁。因此，Oracle强烈建议客户保持使用受积极支持的版本，并立即应用关键补丁更新安全补丁。

此关键补丁更新包含下面列出的产品系列的309个新安全补丁。

此关键补丁更新解决的安全漏洞影响下面列出的产品。

受影响产品和版本	补丁可用性文档
Autonomous Health Framework, 版本 24.11.0-25.4.0	Oracle Autonomous Health Framework
JD Edwards EnterpriseOne Tools, 版本 9.2.0.0-9.2.9.3	JD Edwards
MySQL Client, 版本 8.0.0-8.0.42, 8.4.0-8.4.5, 9.0.0-9.3.0	MySQL
Oracle Database Server, 版本 19.3-19.27, 21.3-21.18, 23.4-23.8	Database
Oracle Java SE, 版本 8u451, 8u451-b50, 8u451-perf, 11.0.27, 17.0.15, 21.0.7, 24.0.1	Java SE
Oracle WebLogic Server, 版本 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0	Fusion Middleware

风险矩阵仅列出与此公告关联的补丁新解决的安全漏洞。先前安全补丁的风险矩阵可在之前的关键补丁更新公告和警报中找到。

此关键补丁更新中解决的几个漏洞影响多个产品。每个漏洞由CVE ID标识。影响多个产品的漏洞将在所有风险矩阵中以相同的CVE ID出现。

安全漏洞使用CVSS 3.1版进行评分。

由于成功攻击构成的威胁，Oracle强烈建议客户尽快应用关键补丁更新安全补丁。在应用关键补丁更新补丁之前，可能可以通过阻止攻击所需的网络协议来降低成功攻击的风险。

Oracle强烈建议客户尽快应用安全补丁。对于跳过了一个或多个关键补丁更新并关注在此关键补丁更新中未宣布安全补丁的产品的客户，请查阅之前的关键补丁更新公告以确定适当的操作。

以下人员或组织向Oracle报告了此关键补丁更新解决的安全漏洞：

关键补丁更新在1月、4月、7月和10月的第三个星期二发布。接下来的四个日期是：

此关键补丁更新包含15个新的Oracle数据库产品安全补丁，分配如下：

此关键补丁更新包含6个新的安全补丁，以及下面注明的额外第三方补丁，用于Oracle数据库产品。这些漏洞均无法在没有身份验证的情况下远程利用。

CVE ID	组件	包和/或所需权限	协议	无需认证远程利用？	CVSS 3.1风险	受影响的支持版本
CVE-2025-30751	Oracle数据库	Create Session, Create Procedure	Oracle Net	否	8.8	19.27, 23.4-23.8
CVE-2025-50069	Java VM	Create Session, Create Procedure	Oracle Net	否	7.7	19.3-19.27, 21.3-21.18

此关键补丁更新包含11个新的Oracle Java SE安全补丁。其中10个漏洞可能可以在没有身份验证的情况下远程利用。

CVE ID	产品	组件	协议	无需认证远程利用？	CVSS 3.1风险	受影响的支持版本
CVE-2025-50059	Oracle Java SE	网络	多协议	是	8.6	8u451-perf, 11.0.27, 17.0.15, 21.0.7, 24.0.1
CVE-2025-30749	Oracle Java SE	2D	多协议	是	8.1	8u451, 8u451-perf, 11.0.27, 17.0.15, 21.0.7, 24.0.1

Oracle 2025年7月关键补丁更新是今年第三季度的重要安全更新，涵盖了Oracle全线产品的安全漏洞修复。企业安全团队应优先评估自身环境中使用的Oracle产品，及时下载并应用相关补丁，以防范潜在的安全威胁。特别是对于可直接远程利用的高危漏洞，应尽快安排修复工作。