2023年10月17日,Oracle发布了2023年10月份的安全更新,修复了其多款产品存在的387个安全漏洞。受影响的产品包括:Oracle Database Server数据库(10个)、Oracle GoldenGate(6个)、Oracle TimesTen In-Memory Database(1个)等等。
受影响的产品和补丁信息
此重要补丁更新解决的安全漏洞影响下列产品。产品区域显示在补丁可用性文档列中。
请单击下面的“补丁可用性文档”列中的链接,访问补丁可用性信息和安装说明的文档。
| 受影响的产品和版本 | 补丁可用性文档 |
|---|---|
| BI Publisher,版本 6.4.0.0.0、7.0.0.0.0、12.2.1.4.0 | 甲骨文分析 |
| GoldenGate 大数据,版本 21.3-21.10 | 数据库 |
| GoldenGate Veridata,版本 12.2.1.4.0-12.2.1.4.230922 | 数据库 |
| 酒店业 OPERA 5 物业服务,版本 5.6 | Oracle Hospitality OPERA 5 物业服务 |
| JD Edwards EnterpriseOne 工具,版本 9.2.7 | JD爱德华兹 |
| 管理云引擎,版本 23.1.0.0 | 管理云引擎 |
| MySQL 集群,版本 8.0.34 及更早版本,8.1.0 | MySQL |
| MySQL 连接器,版本 8.1.0 及更早版本 | MySQL |
| MySQL Enterprise Monitor,版本 8.0.35 及更早版本 | MySQL |
| MySQL 安装程序,1.6.8 之前的版本 | MySQL |
| MySQL 服务器,版本 5.7.43 及之前版本、8.0.34 及之前版本、8.1.0 及之前版本 | MySQL |
| MySQL Shell,版本 8.1.1 及更早版本 | MySQL |
| Oracle Access Manager,版本 12.2.1.4.0 | 融合中间件 |
| Oracle Agile PLM,版本 9.3.6 | 甲骨文供应链产品 |
| Oracle 应用程序测试套件,版本 13.3.0.1 | 甲骨文企业管理器 |
| Oracle 银行 API,版本 18.3、19.1、19.2、21.1、22.1、22.2 | 联系支持人员 |
| Oracle Banking Branch,版本 14.5-14.7 | 联系支持人员 |
| Oracle 银行现金管理,版本 14.5-14.7 | 联系支持人员 |
| Oracle 银行企业贷款,版本 14.0-14.3、14.5-14.7 | 联系支持人员 |
| Oracle 银行企业贷款流程管理,版本 14.5-14.7 | 联系支持人员 |
| Oracle 银行信贷融资流程管理,版本 14.5-14.7 | 联系支持人员 |
| Oracle 银行存款和信用额度服务,版本 2.7、2.12 | 联系支持人员 |
| Oracle 银行数字体验,版本 18.3、19.1、19.2、21.1、22.1、22.2 | 联系支持人员 |
| Oracle 企业银行电子数据交换版本 14.5-14.7 | 联系支持人员 |
| Oracle 银行流动性管理,版本 14.5-14.7 | 联系支持人员 |
| Oracle 银行贷款服务,版本 2.12 | 甲骨文银行平台 |
| Oracle Banking Origin,版本 14.5-14.7 | 联系支持人员 |
| Oracle 银行方管理,版本 2.7 | 甲骨文银行平台 |
| Oracle 银行支付,版本 14.0-14.3、14.5-14.7 | 联系支持人员 |
| Oracle 银行平台,版本 2.6.2、2.9.0 | 甲骨文银行平台 |
| Oracle 银行供应链金融,版本 14.5-14.7 | 联系支持人员 |
| Oracle 银行贸易融资,版本 14.5-14.7 | 联系支持人员 |
| Oracle 银行贸易融资流程管理,版本 14.5-14.7 | 联系支持人员 |
| Oracle 银行虚拟账户管理,版本 14.5-14.7 | 联系支持人员 |
| Oracle Big Data Spatial and Graph,版本 2.5 及更早版本 | 数据库 |
| Oracle 商务智能企业版,版本 6.4.0.0.0、7.0.0.0.0、12.2.1.4.0 | 甲骨文分析 |
| Oracle 业务流程管理套件,版本 12.2.1.4.0 | 融合中间件 |
| Oracle Coherence,版本 12.2.1.4.0、14.1.1.0.0 | 融合中间件 |
| Oracle Commerce 引导式搜索,版本 11.3.2 | 甲骨文商务 |
| Oracle Communications BRM - 弹性充电引擎,版本 12.0.0.4-12.0.0.8 | Oracle Communications BRM - 弹性充电引擎 |
| Oracle Communications Cloud Native 核心绑定支持功能,版本 23.1.0-23.1.8、23.2.0-23.2.4 | Oracle Communications Cloud Native 核心绑定支持功能 |
| Oracle 通信云本机核心控制台,版本 23.1.1、23.1.2、23.2.1 | Oracle 通信云原生核心控制台 |
| Oracle 通信云本机核心网络暴露功能,版本 23.1.3、23.3.0 | Oracle 通信云原生核心网络暴露功能 |
| Oracle 通信云原生核心网络功能云原生环境,版本 23.2.0、23.2.2 | Oracle 通信云原生核心网络功能云原生环境 |
| Oracle Communications Cloud Native 核心网络存储库功能,版本 23.1.3、23.2.1、23.3.0 | Oracle Communications Cloud Native 核心网络存储库功能 |
| Oracle 通信云本机核心策略,版本 23.1.0-23.1.8、23.2.0-23.2.4 | Oracle 通信云原生核心策略 |
| Oracle 通信云本机核心安全边缘保护代理,版本 23.1.0、23.1.3、23.3.0 | Oracle 通信云原生核心安全边缘保护代理 |
| Oracle 通信云原生核心统一数据存储库,版本 23.1.2 | Oracle 通信云原生核心统一数据存储库 |
| Oracle 通信融合充电控制器,版本 12.0.6.0 | Oracle 通信融合充电控制器 |
| Oracle Communications Diameter 信令路由器,版本 8.6.0.0、9.0.0.0 | Oracle Communications Dia 信令路由器 |
| Oracle Communications Element Manager,版本 9.0.0-9.0.2 | Oracle 通信元素管理器 |
| Oracle Communications IP Service Activator,版本 7.4.0、7.5.0 | Oracle 通信 IP 服务激活器 |
| Oracle 通信 MetaSolv 解决方案,版本 6.3.1.0.0 | Oracle 通信 MetaSolv 解决方案 |
| Oracle 通信网络分析数据总监,版本 23.2.0 | Oracle 通信网络分析数据总监 |
| Oracle 通信网络充电和控制,版本 12.0.6.0 | Oracle 通信网络计费和控制 |
| Oracle 通信订单和服务管理,版本 7.4.0、7.4.1 | Oracle 通信订单和服务管理 |
| Oracle 通信策略管理,版本 12.6.0.0 | Oracle 通信策略管理 |
| Oracle 通信会话报告管理器,版本 9.0.0-9.0.2 | Oracle 通信会话报告管理器 |
| Oracle Communications Unified Assurance,版本 5.5.0-5.5.17、6.0.0-6.0.3 | Oracle 通信统一保障 |
| Oracle Communications WebRTC 会话控制器,版本 7.2.0.0.0、7.2.1.0.0 | Oracle 通信 WebRTC 会话控制器 |
| Oracle 数据集成器,版本 12.2.1.4.0 | 融合中间件 |
| Oracle 数据库服务器,版本 19.3-19.20、21.3-21.11 | 数据库 |
| Oracle Documaker,版本 12.6.4-12.7.1 | Oracle 保险应用程序 |
| Oracle E-Business Suite,版本 12.2.3-12.2.12,[ECC] 8,[ECC] 9,[ECC] 10 | Oracle电子商务套件 |
| Oracle 企业通信代理,版本 3.3、4.0、4.1 | Oracle 企业通信代理 |
| Oracle 企业数据质量,版本 12.2.1.4.0 | 融合中间件 |
| Oracle Enterprise Manager 基础平台,版本 13.5.0.0 | 甲骨文企业管理器 |
| Oracle Enterprise Manager for Peoplesoft,版本 13.5.1.1 | 甲骨文企业管理器 |
| Oracle Enterprise Manager Ops Center,版本 12.4.0.0 | 甲骨文企业管理器 |
| Oracle Enterprise Operations Monitor,版本 5.0、5.1 | Oracle 企业运营监控器 |
| Oracle 企业会话边界控制器,版本 9.0-9.2 | Oracle 企业会话边界控制器 |
| Oracle Essbase,版本 21.5.0.0.0 | 数据库 |
| Oracle 金融服务现金流引擎,版本 8.1.2.0.0 | 联系支持人员 |
| Oracle 金融服务模型管理和治理,版本 8.1.2.3、8.1.2.4 | Oracle 金融服务模型管理和治理 |
| Oracle FLEXCUBE 核心银行业务,版本 11.6-11.8、11.10、11.11 | 联系支持人员 |
| Oracle FLEXCUBE Enterprise 限制和抵押品管理,版本 12.3、12.4、14.0-14.3、14.5-14.7 | 联系支持人员 |
| Oracle FLEXCUBE 通用银行业务,版本 12.3、12.4、14.0-14.3、14.5-14.7 | 联系支持人员 |
| Oracle 融合中间件 MapViewer,版本 12.2.1.4.0 | 融合中间件 |
| Oracle Global Lifecycle Management OPatch,12.2.0.1.40 之前的版本 | 全球生命周期管理 |
| Oracle GoldenGate Studio,版本 12.2.1.4.0 | 数据库 |
| 适用于 JDK 的 Oracle GraalVM,版本 17.0.8、21 | 爪哇SE |
| Oracle Graph 服务器和客户端,版本 22.4.4 及更早版本 | 数据库 |
| Oracle Healthcare Master 人员索引,版本 5.0.0-5.0.6 | 医疗保健应用 |
| Oracle HTTP 服务器,版本 12.2.1.4.0 | 融合中间件 |
| Oracle Hyperion 基础设施技术,版本 11.2.14.0.0 | Oracle 企业绩效管理 |
| Oracle 身份管理器,版本 12.2.1.4.0 | 融合中间件 |
| Oracle Java SE,版本 8u381、8u381-perf、11.0.20、17.0.8、21 | 爪哇SE |
| Oracle 生命科学 InForm,版本 7.0.0.0 | 健康科学 |
| Oracle Life Sciences InForm Publisher,版本 6.3.1.0 | 健康科学 |
| Oracle 托管文件传输,版本 12.2.1.4.0 | 融合中间件 |
| Oracle 中间件通用库和工具,版本 12.2.1.4.0 | 融合中间件 |
| Oracle Outside In 技术,版本 8.5.6 | 融合中间件 |
| Oracle REST 数据服务,23.2.2 之前的版本 | 数据库 |
| Oracle Retail Bulk Data Integration,版本 16.0.3、19.0.1 | 零售应用 |
| Oracle Retail Customer Management and Segmentation Foundation,版本 18.0.0.13、19.0.0.7 | 零售应用 |
| Oracle 零售 EFTLink,版本 20.0.1、21.0.0、22.0.0 | 零售应用 |
| Oracle Retail Financial Integration,版本 14.1.3.2、15.0.3.1、16.0.3、19.0.1 | 零售应用 |
| Oracle 零售财务管理,版本 14.2 | 零售应用 |
| Oracle Retail Integration Bus,版本 14.1.3.2、15.0.3.1、16.0.3、19.0.1 | 零售应用 |
| Oracle 零售销售系统,版本 19.0.1 | 零售应用 |
| Oracle 零售服务主干,版本 14.1.3.2、15.0.3.1、16.0.3、19.0.1 | 零售应用 |
| Oracle Retail Xstore 服务点,版本 18.0.5、19.0.4、20.0.3、21.0.2、22.0.0 | 零售应用 |
| Oracle SD-WAN Edge,版本 9.1.1.5.0、9.1.1.6.0 | Oracle SD-WAN 边缘 |
| Oracle 安全备份,版本 18.1.0.1.0、18.1.0.2.0 | Oracle 安全备份 |
| Oracle 服务总线,版本 12.2.1.4.0 | 融合中间件 |
| Oracle SOA 套件,版本 12.2.1.4.0 | 融合中间件 |
| Oracle Solaris,版本 10、11 | 系统 |
| Oracle 统一目录,版本 12.2.1.4.0 | 融合中间件 |
| Oracle 公用事业应用程序框架,版本 4.2.0.3.0、4.3.0.1.0-4.3.0.6.0、4.4.0.0.0、4.4.0.2.0、4.4.0.3.0、4.5.0.0.0、4.5。 0.0.1、4.5.0.1.0-4.5.0.1.2 | Oracle 公用事业应用程序 |
| Oracle 公用事业网络管理系统,版本 2.3.0.2、2.4.0.1 | Oracle 公用事业应用程序 |
| Oracle VM VirtualBox,7.0.12 之前的版本 | 虚拟化 |
| Oracle WebCenter Content,版本 12.2.1.4.0 | 融合中间件 |
| Oracle WebCenter Portal,版本 12.2.1.4.0 | 融合中间件 |
| Oracle WebLogic Server,版本 12.2.1.3.0、12.2.1.4.0、14.1.1.0.0 | 融合中间件 |
| PeopleSoft Enterprise CC 通用应用程序对象,版本 9.2 | 仁科 |
| PeopleSoft Enterprise HCM 全球薪资瑞士,版本 9.2 | 仁科 |
| PeopleSoft Enterprise PeopleTools,版本 8.59、8.60 | 仁科 |
| Primavera 网关,版本 19.12.0-19.12.17、20.12.0-20.12.12、21.12.0-21.12.10 | Oracle 建筑和工程套件 |
| Primavera Unifier,版本 19.12.0-19.12.16、20.12.0-20.12.16、21.12.0-21.12.16、22.12.0-22.12.9 | Oracle 建筑和工程套件 |
| Siebel 应用程序,版本 23.8 及更早版本 | 西贝尔 |
| Sun ZFS 存储设备,版本 8.8.60 | 系统 |
| TimesTen 内存数据库,18.1.4.38.0 之前的版本、18.1.4.39.0 之前的版本、22.1.1.18.0 之前的版本 | 数据库 |
风险矩阵内容
风险矩阵仅列出与此通报相关的补丁新解决的安全漏洞。以前的安全补丁的风险表可以在以前的重要补丁更新建议和警报中找到。此处提供了本文档中提供的风险矩阵的英文文本版本。
此重要补丁更新中解决的多个漏洞影响多个产品。每个漏洞均由CVE ID标识。影响多个产品的漏洞将在所有风险矩阵中以相同的 CVE ID 出现。
安全漏洞使用 CVSS 版本 3.1 进行评分(有关 Oracle 如何应用 CVSS 版本 3.1 的说明,请参阅Oracle CVSS 评分)。
Oracle 对重要补丁更新所解决的每个安全漏洞进行分析。Oracle 不会向客户透露有关此安全分析的详细信息,但生成的风险矩阵和相关文档提供了有关漏洞类型、利用该漏洞所需的条件以及成功利用该漏洞的潜在影响的信息。Oracle 提供此信息的部分原因是,客户可以根据其产品使用的具体情况进行自己的风险分析。有关更多信息,请参阅Oracle 漏洞披露政策。
Oracle 列出了解决第三方组件中的漏洞的更新,这些漏洞在产品风险矩阵下包含在各自 Oracle 产品中时无法利用。从 2023 年 7 月重要补丁更新开始,还提供了VEX理由。
风险矩阵中的协议意味着其所有安全变体(如果适用)也会受到影响。例如,如果 HTTP 被列为受影响的协议,则意味着 HTTPS(如果适用)也会受到影响。仅当协议的安全变体是唯一受影响的变体时,该协议的安全变体才会在风险矩阵中列出,例如,HTTPS 通常会列出 SSL 和 TLS 中的漏洞。
解决方法
由于成功攻击所带来的威胁,Oracle强烈建议客户尽快应用重要补丁更新安全补丁。在应用重要补丁更新补丁之前,可以通过阻止攻击所需的网络协议来降低成功攻击的风险。对于需要某些权限或访问某些程序包的攻击,删除不需要权限的用户的权限或访问程序包的能力可能有助于降低成功攻击的风险。这两种方法都可能会破坏应用程序功能,因此 Oracle 强烈建议客户在非生产系统上测试更改。这两种方法都不应被视为长期解决方案,因为都不能解决根本问题。
跳过重要补丁更新
Oracle 强烈建议客户尽快应用安全补丁。对于已跳过一个或多个重要补丁更新并且对未在此重要补丁更新中宣布的安全补丁的产品感到担忧的客户,请查看之前的重要补丁更新建议以确定适当的操作。
重要补丁更新支持的产品和版本
通过重要补丁更新计划发布的补丁仅适用于终身支持政策的高级支持或扩展支持阶段所涵盖的产品版本。Oracle 建议客户规划产品升级,以确保通过关键补丁更新计划发布的补丁适用于他们当前运行的版本。
不在高级支持或扩展支持范围内的产品版本未测试是否存在此重要补丁更新所解决的漏洞。但是,受影响版本的早期版本也可能受到这些漏洞的影响。因此,Oracle 建议客户升级到支持的版本。
数据库、融合中间件和 Oracle Enterprise Manager 产品根据My Oracle Support 说明 209768.1中说明的软件错误更正支持策略进行修补。请查看技术支持政策,了解有关支持政策和支持阶段的进一步指南。
参考信息:
https://www.oracle.com/security-alerts/cpuoct2023.html
