Oracle 关键补丁更新公告 - 2021年10月
描述
关键补丁更新是针对多个安全漏洞的补丁集合。这些补丁解决了Oracle代码和Oracle产品中包含的第三方组件中的漏洞。这些补丁通常是累积性的,但每个公告仅描述自上一个关键补丁更新公告以来新增的安全补丁。因此,应查阅之前的关键补丁更新公告以获取有关早期发布的安全补丁的信息。
Oracle持续收到关于恶意利用Oracle已发布安全补丁的漏洞的报告。在某些情况下,据报道攻击者之所以成功,是因为目标客户未能应用可用的Oracle补丁。因此,Oracle强烈建议客户保持使用受支持的版本,并立即应用关键补丁更新安全补丁。
此关键补丁更新包含以下产品系列的419个新安全补丁。
受影响产品和补丁信息
此关键补丁更新解决的安全漏洞影响以下列出的产品。产品区域显示在“补丁可用文档”列中。
请点击下方“补丁可用文档”列中的链接以访问补丁可用性信息和安装说明的文档。
受影响产品和版本
| 受影响产品和版本 | 补丁可用文档 |
|---|---|
| Enterprise Manager Base Platform, 版本 13.4.0.0, 13.5.0.0 | Enterprise Manager |
| Enterprise Manager for Oracle Database, 版本 13.4.0.0 | Enterprise Manager |
| Enterprise Manager Ops Center, 版本 12.4.0.0 | Enterprise Manager |
| Essbase Administration Services, 版本早于 11.1.2.4.046, 早于 21.3 | Database |
| Hyperion Financial Management, 版本 11.1.2.4, 11.2.6.0 | Fusion Middleware |
| ...(完整产品列表) | ... |
风险矩阵内容
风险矩阵仅列出与此公告关联的补丁新解决的安全漏洞。之前安全补丁的风险矩阵可以在之前的关键补丁更新公告和警报中找到。
安全漏洞使用CVSS 3.1版本进行评分。Oracle对每个由关键补丁更新解决的安全漏洞进行分析。Oracle不会向客户披露此安全分析的详细信息,但由此产生的风险矩阵和相关文档提供了有关漏洞类型、利用所需条件以及成功利用的潜在影响的信息。
解决方案
由于成功攻击构成的威胁,Oracle强烈建议客户尽快应用关键补丁更新安全补丁。在应用关键补丁更新补丁之前,可能可以通过阻止攻击所需的网络协议来降低成功攻击的风险。对于需要某些权限或访问某些包的攻击,从不需要这些权限的用户中删除权限或访问包的能力可能有助于降低成功攻击的风险。
关键补丁更新支持的产品和版本
通过关键补丁更新程序发布的补丁仅适用于终身支持策略的Premier Support或Extended Support阶段覆盖的产品版本。Oracle建议客户计划产品升级,以确保通过关键补丁更新程序发布的补丁可用于他们当前运行的版本。
信用声明
以下人员或组织向Oracle报告了此关键补丁更新解决的安全漏洞:
- 0xfoxone
- Andrej Simko of Accenture
- Anonymous researcher working with Trend Micro's Zero Day Initiative
- ...(完整信用列表)
安全深度贡献者
Oracle感谢为我们的安全深度计划做出贡献的人员。
在线存在安全贡献者
Oracle感谢为我们的在线存在安全计划做出贡献的人员。
关键补丁更新计划
关键补丁更新在1月、4月、7月和10月最接近17日的星期二发布。接下来四个日期是:
- 2022年1月18日
- 2022年4月19日
- 2022年7月19日
- 2022年10月18日
修改历史
| 日期 | 备注 |
|---|---|
| 2022年1月18日 | Rev 3. 更新了essbase受影响版本 |
| 2021年10月28日 | Rev 2. 将CVE-2018-20843的产品从Oracle WebLogic Server Proxy Plug-In更改为Oracle HTTP Server,并将5.9.0.0.0添加到Oracle Business Intelligence Enterprise Edition的受影响版本 |
| 2021年10月19日 | Rev 1. 初始发布 |
Oracle数据库产品风险矩阵
此关键补丁更新包含18个新的Oracle数据库产品安全补丁,分为以下几类:
- 9个新的Oracle数据库产品安全补丁
- 5个新的Oracle Essbase安全补丁
- 1个新的Oracle GoldenGate安全补丁
- 1个新的Oracle Graph Server and Client安全补丁
- 1个新的Oracle REST Data Services安全补丁
- 1个新的Oracle Secure Backup安全补丁
Oracle数据库服务器风险矩阵
此关键补丁更新包含9个新的安全补丁,外加下面注明的其他第三方补丁。这些漏洞中有2个可以在没有身份验证的情况下远程利用,即可以通过网络利用而不需要用户凭据。
| CVE# | 组件 | 包和/或权限要求 | 协议 | 无需认证可远程利用? | 基础评分 | 受影响的支持版本 | 备注 |
|---|---|---|---|---|---|---|---|
| CVE-2021-35599 | Zero Downtime DB Migration to Cloud | 本地登录 | 本地登录 | 否 | 8.2 | 21c | |
| CVE-2021-25122 | Oracle Database Enterprise Edition (Apache Tomcat) | 无 | HTTP | 是 | 7.5 | 12.2.0.1, 19c, 21c | |
| ...(完整风险矩阵) | ... | ... | ... | ... | ... | ... | ... |
