Oracle 发布了 2025 年 4 月的重要补丁更新 (CPU),解决了其广泛产品组合中的 378 个新安全漏洞。
周三宣布的季度安全更新包含针对许多高风险缺陷的补丁,其中许多漏洞可能允许在未经身份验证的情况下进行远程利用。
漏洞统计
|
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
多个产品中的关键漏洞
2025 年 4 月的 CPU 影响了许多 Oracle 产品和服务,包括 Oracle 数据库服务器、Java SE、MySQL、融合中间件、E-Business Suite、通信产品等。一些最令人担忧的漏洞影响了全球组织中广泛部署的 Oracle 核心企业产品。
Oracle Database Server 版本 19.3-19.26、21.3-21.17 和 23.4-23.7 收到了针对多个安全问题的补丁,凸显了更新数据库系统的重要性。
Java SE 是 Oracle 分布最广泛的技术之一,它收到了版本 8u441、11.0.26、17.0.14、21.0.6 和 24 的补丁,解决了可能影响全球数百万个系统的漏洞。
|
|
|
|
|
|
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
远程利用问题
使此更新特别紧迫的是,许多修补的漏洞可以在不需要用户凭证的情况下被远程利用。Oracle 已经明确警告了延迟修补的后果,并指出过去攻击者成功入侵系统的事件,因为“目标客户未能应用可用的 Oracle 补丁”。
“甲骨文强烈建议客户继续使用有效支持的版本,并立即应用关键补丁更新安全补丁,”该公司在其公告中表示。
安全专家强调了此更新的重要性,因为所解决的漏洞的数量和严重性。这些补丁涵盖了众多安全研究人员和组织报告的缺陷,包括 Google、Amazon AWS Security、阿里巴巴、清华大学和各种独立安全专家。
Oracle 使用通用漏洞评分系统 (CVSS) 版本 3.1 来评估每个漏洞的严重性。这种标准化方法可帮助组织根据潜在影响和可利用性确定首先实施哪些补丁的优先级。
受影响的产品和建议
此安全更新涵盖 Oracle 的整个产品生态系统。主要受影响的产品包括:
-
MySQL 服务器(版本 8.0.0-8.0.41、8.4.0-8.4.4、9.0.0-9.2.0) -
Oracle WebLogic Server(版本 12.2.1.4.0、14.1.1.0.0) -
Oracle 通信产品(多个版本) -
Oracle 金融服务应用 -
Oracle 零售应用 -
Oracle E-Business Suite(版本 12.2.3-12.2.14) -
PeopleSoft Enterprise 产品
Oracle 强调,仅针对终身支持策略的标准支持或扩展支持阶段的产品版本提供补丁。强烈建议运行不受支持的版本的组织进行升级,因为旧版本可能会遇到相同的漏洞,但不会收到补丁。
对于无法立即应用补丁的组织,Oracle 建议通过“阻止攻击所需的网络协议”或“删除不需要权限的用户的权限或访问软件包的能力”来降低风险。
免责声明:
本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理,文章版权归原作者所有,仅供读者学习、参考,禁止用于商业用途。因转载众多,无法找到真正来源,如标错来源,或对于文中所使用的图片、文字、链接中所包含的软件/资料等,如有侵权,请跟我们联系删除,谢谢!
原文始发于微信公众号(网安百色):Oracle 安全更新 – 针对 378 漏洞(包括远程漏洞利用)的补丁
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论