暂无图片
暂无图片
暂无图片
暂无图片
暂无图片
首页 / 2023年7月 Oracle 重要补丁更新公告

2023年7月 Oracle 重要补丁更新公告

原创 通讯员 2023-07-19
3218

描述

重要补丁更新是针对多个安全漏洞的补丁集合。这些补丁解决了 Oracle 代码和 Oracle 产品中包含的第三方组件中的漏洞。这些补丁通常是累积的,但每个通报仅描述自上一个重要补丁更新通报以来添加的安全补丁。因此,应查看之前的重要补丁更新公告,以获取有关早期发布的安全补丁的信息。有关 Oracle 安全建议的信息,请参阅“重要补丁更新、安全警报和公告”(https://www.oracle.com/security-alerts/) 。

Oracle 继续定期收到恶意利用 Oracle 已发布安全补丁的漏洞的报告。据报道,在某些情况下,攻击者之所以成功,是因为目标客户未能应用可用的 Oracle 补丁。因此,Oracle 强烈建议客户继续使用受积极支持的版本,并立即应用关键补丁更新安全补丁。

2023年7月重要补丁更新包含跨下列产品系列的 508 个新安全补丁。请注意,总结此重要补丁更新和其他 Oracle 软件安全保证活动内容的 MOS 说明位于Oracle 2023年7月重要补丁更新 - 执行摘要和分析(文档 ID 2943356.1)(https://support.oracle.com/rs?type=doc&id=2943356.1)

受影响的产品和补丁信息

此重要补丁更新解决的安全漏洞影响下列产品。产品区域显示在补丁可用性文档列中。

请单击下面的“补丁可用性文档”列中的链接,访问补丁可用性信息和安装说明的文档。

受影响的产品和版本补丁可用性文档
Oracle Utilities & Enterprise Taxation 应用程序管理包,版本 13.4.1.0.0、13.5.1.0.0Oracle 公用事业应用程序
BI Publisher,版本 6.4.0.0.0、7.0.0.0.0甲骨文分析
JD Edwards EnterpriseOne Orchestrator,9.2.7.4 之前的版本JD爱德华兹
JD Edwards EnterpriseOne Tools,9.2.7.4 之前的版本JD爱德华兹
MySQL Cluster,版本 8.0.33 及更早版本MySQL
MySQL 连接器,版本 8.0.33 及更早版本MySQL
MySQL Enterprise Monitor,版本 8.0.34 及更早版本MySQL
MySQL 服务器,版本 5.7.42 及之前版本、8.0.33 及之前版本MySQL
MySQL Workbench,版本 8.0.33 及更早版本MySQL
Oracle Access Manager,版本 12.2.1.4.0融合中间件
Oracle 敏捷工程数据管理,版本 6.2.1.0-6.2.1.8甲骨文供应链产品
Oracle Agile PLM,版本 9.3.6甲骨文供应链产品
Oracle Application Express,版本 [Application Express 管理] 18.2-22.2、[Application Express 客户插件] 18.2-22.2、[Application Express 团队日历插件] 18.2-22.1数据库
Oracle 应用程序测试套件,版本 13.3.0.1甲骨文企业管理器
Oracle AutoVue,版本 21.0.2.0-21.0.2.7甲骨文供应链产品
Oracle Autovue 敏捷产品生命周期管理,版本 21.0.2甲骨文供应链产品
Oracle BAM(业务活动监控),版本 12.2.1.4.0融合中间件
Oracle 银行 API,版本 18.2.0.0.0、18.3.0.0.0、19.1.0.0.0、19.2.0.0.0、21.1.0.0.0、22.1.0.0.0、22.2.0.0.0联系支持人员
Oracle Banking Branch,版本 14.5-14.7联系支持人员
Oracle 银行现金管理,版本 14.7.0.2.0、14.7.1.0.0联系支持人员
Oracle 银行企业贷款,版本 14.0-14.3、14.5-14.7联系支持人员
Oracle 银行企业贷款流程管理,版本 14.4-14.7联系支持人员
Oracle 银行信贷融资流程管理,版本 14.7.1.0.0联系支持人员
Oracle 银行数字体验,版本 18.2.0.0.0、18.3.0.0.0、19.1.0.0.0、19.2.0.0.0、21.1.0.0.0、22.1.0.0.0、22.2.0.0.0联系支持人员
Oracle 银行流动性管理,版本 14.5.0.8.0、14.6.0.3.0、14.6.0.4.0、14.7.0.1.0、14.7.0.2.0、14.7.1.0.0联系支持人员
Oracle Banking Origin,版本 14.5-14.7、14.7.0联系支持人员
Oracle 银行支付,版本 14.5-14.7联系支持人员
Oracle 银行供应链金融,版本 14.7.0.2.0、14.7.1.0.0联系支持人员
Oracle 银行贸易融资,版本 14.0-14.3、14.5-14.7联系支持人员
Oracle 银行贸易融资流程管理,版本 14.5.0.8.0、14.6.0.4.0、14.7.0.2.0、14.7.1.0.0联系支持人员
Oracle 银行资金管理,版本 14.5-14.7联系支持人员
Oracle 大数据空间和图形,版本 3.0数据库
Oracle 商务智能企业版,版本 6.4.0.0.0、7.0.0.0.0、12.2.1.4.0甲骨文分析
Oracle 业务流程管理套件,版本 12.2.1.4.0融合中间件
Oracle Coherence,版本 12.2.1.4.0、14.1.1.0.0融合中间件
Oracle Commerce 引导式搜索,版本 11.3.2甲骨文商务
Oracle 商务平台,版本 11.3.0、11.3.1、11.3.2甲骨文商务
Oracle 通信计费和收入管理,版本 12.0.0.4.0-12.0.0.8.0Oracle 通信计费和收入管理
Oracle Communications BRM - 弹性充电引擎,版本 12.0.0.4.0-12.0.0.8.0Oracle Communications BRM - 弹性充电引擎
Oracle 通信日历服务器,版本 8.0.0.2.0-8.0.0.7.0Oracle 通信日历服务器
Oracle Communications Cloud Native Core 自动化测试套件,版本 22.4.1、23.1.0、23.1.1Oracle 通信云原生核心自动化测试套件
Oracle Communications Cloud Native 核心绑定支持功能,版本 22.4.0、23.1.0Oracle Communications Cloud Native 核心绑定支持功能
Oracle 通信云本机核心控制台,版本 22.4.2、23.1.1Oracle 通信云原生核心控制台
Oracle 通信云本机核心网络暴露功能,版本 22.4.3、23.1.2Oracle 通信云原生核心网络暴露功能
Oracle 通信云原生核心网络功能云原生环境,版本 23.1.0Oracle 通信云原生核心网络功能云原生环境
Oracle 通信云本机核心网络存储库功能,版本 22.4.2、22.4.3、23.1.0、23.1.1、23.2.0Oracle Communications Cloud Native 核心网络存储库功能
Oracle 通信云本机核心策略,版本 22.4.0、23.1.0、23.2.0Oracle 通信云原生核心策略
Oracle 通信云本机核心安全边缘保护代理,版本 22.3.2、22.4.0、22.4.3、23.1.0、23.1.1、23.1.2Oracle 通信云原生核心安全边缘保护代理
Oracle 通信云本机核心服务通信代理,版本 22.4.0、23.1.0Oracle Communications Cloud Native Core 服务通信代理
Oracle 通信云原生核心统一数据存储库,版本 23.1.1Oracle 通信云原生核心统一数据存储库
Oracle 通信联系人服务器,版本 8.0.0.6.0-8.0.0.8.0Oracle 通信联系人服务器
Oracle 通信融合应用服务器 - 服务控制器,版本 6.2.0Oracle 通信融合应用服务器 - 服务控制器
Oracle 通信融合,版本 3.0.3.2Oracle 通信融合
Oracle 通信融合充电控制器,版本 12.0.3.0.0-12.0.6.0.0Oracle 通信融合充电控制器
Oracle Communications Design Studio,版本 7.4.0.7.0、7.4.1.5.0、7.4.2.8.0甲骨文通信设计工作室
Oracle Communications Diameter 信令路由器,版本 8.6.0.0Oracle Communications Dia 信令路由器
Oracle 通信即时消息服务器,版本 10.0.1.7.0Oracle 通信即时消息服务器
Oracle 通信消息传递服务器,版本 8.1.0.21.0Oracle 通信消息服务器
Oracle 通信网络分析数据总监,版本 23.1.0Oracle 通信网络分析数据总监
Oracle 通信网络充电和控制,版本 12.0.3.0.0-12.0.6.0.0Oracle 通信网络计费和控制
Oracle 通信网络完整性,版本 7.3.6.4Oracle 通信网络完整性
Oracle 通信操作监视器,版本 5.0、5.1Oracle 通信操作监视器
Oracle 通信订单和服务管理,版本 7.3.5、7.4.0、7.4.1Oracle 通信订单和服务管理
Oracle 通信定价设计中心,版本 12.0.0.4.0-12.0.0.7.0Oracle 通信定价设计中心
Oracle Communications Unified Assurance,版本 5.5.0-5.5.17、6.0.0-6.0.2Oracle 通信统一保障
Oracle Communications 统一库存管理,版本 7.4.0-7.4.2、7.5.0Oracle 通信统一库存管理
Oracle 数据集成器,版本 12.2.1.4.0融合中间件
Oracle 数据库服务器,版本 19.3-19.19、21.3-21.10数据库
Oracle Documaker,版本 12.6.1-12.7.1Oracle 保险应用程序
Oracle 电子商务套件,版本 12.2.3-12.3.12Oracle电子商务套件
Oracle 企业数据质量,版本 12.2.1.4.0融合中间件
适用于 Exadata 的 Oracle 企业管理器,版本 13.5.0.0甲骨文企业管理器
Oracle 融合中间件企业管理器,版本 13.5.0.0甲骨文企业管理器
适用于 Oracle 数据库的 Oracle Enterprise Manager,版本 13.5.0.0甲骨文企业管理器
Oracle Enterprise Manager Ops Center,版本 12.4.0.0甲骨文企业管理器
Oracle Enterprise Operations Monitor,版本 5.0、5.1Oracle 企业运营监控器
Oracle Essbase,版本 21.4.3.0.0数据库
Oracle 金融服务分析应用基础设施,版本 8.0.7、8.0.8、8.1.0、8.1.1、8.1.2Oracle 金融服务分析应用基础设施
Oracle 金融服务行为检测平台,版本 8.0.8.1、8.1.1.1、8.1.2.4、8.1.2.5Oracle 金融服务行为检测平台
Oracle 金融服务合规工作室,版本 8.1.2.4Oracle 金融服务合规工作室
Oracle 金融服务企业案例管理,版本 8.0.8.2、8.1.1.1、8.1.2.4、8.1.2.5Oracle 金融服务企业案例管理
Oracle 金融服务基于贸易的反洗钱企业版,版本 8.0.8Oracle 金融服务基于贸易的反洗钱企业版
Oracle FLEXCUBE 投资者服务,版本 14.7.0.0.0联系支持人员
Oracle FLEXCUBE 全能银行,版本 14.0-14.7联系支持人员
Oracle 融合中间件 MapViewer,版本 12.2.1.4.0融合中间件
Oracle GoldenGate,版本 19.1.0.0.0-19.1.0.0.230422、21.3.0.0.0-21.10.0.0.5数据库
Oracle GoldenGate 流分析,版本 19.1.0.0.0-19.1.0.0.7数据库
Oracle GraalVM 企业版,版本 20.3.10、21.3.6、22.3.2爪哇SE
适用于 JDK 的 Oracle GraalVM,版本 17.0.7、20.0.1爪哇SE
Oracle 图形服务器和客户端,版本 21.4.6、21.4.7、22.4.1、22.4.2、23.1.0数据库
Oracle Health Sciences 科学数据管理工作台,版本 3.1.0.2、3.1.1.3、3.2.0.0健康科学
Oracle Hospitality Cruise Shipboard Property Management System,版本 20.1.0、20.2.0、20.3.3Oracle Hospitality 游轮船上财产管理系统
Oracle Hospitality Simphony,版本 19.5Oracle Hospitality Simphony
Oracle HTTP 服务器,版本 12.2.1.4.0融合中间件
Oracle Hyperion 数据关系管理,版本 11.2.13.0.0Oracle 企业绩效管理
Oracle Hyperion Essbase 管理服务,版本 21.4.3.0.0数据库
Oracle Hyperion 财务报告,版本 11.2.13.0.0Oracle 企业绩效管理
Oracle Hyperion 工作区,版本 11.2.13.0.0Oracle 企业绩效管理
Oracle 身份管理器,版本 12.2.1.4.0融合中间件
Oracle Identity Manager 连接器,版本 9.1.0、12.2.1.3.0融合中间件
Oracle Java SE,版本 8u371、8u371-perf、11.0.19、17.0.7、20.0.1爪哇SE
Oracle JDeveloper,版本 12.2.1.4.0融合中间件
Oracle 中间件通用库和工具,版本 12.2.1.4.0融合中间件
Oracle Mobile Security Suite,11.1.2.3.1 之前的版本融合中间件
Oracle NoSQL 数据库,版本 19.5.33、20.3.28、21.2.55、22.3.26NoSQL数据库
Oracle Policy Automation,12.2.31 之前的版本Oracle 策略自动化
Oracle 零售高级库存计划,版本 15.0、16.0零售应用
Oracle Retail Bulk Data Integration,版本 16.0.3、19.0.1零售应用
Oracle Retail Financial Integration,版本 14.2.0、15.0.4、16.0.3、19.0.1零售应用
Oracle Retail Integration Bus,版本 14.2.0、15.0.4、16.0.3、19.0.1零售应用
Oracle 零售订单代理,版本 19.1零售应用
Oracle 零售预测应用服务器,版本 15.0.3、16.0.3零售应用
Oracle 零售服务主干,版本 14.2.0、15.0.4、16.0.3、19.0.1零售应用
Oracle SD-WAN Edge,版本 9.1.1.5.0Oracle SD-WAN 边缘
Oracle 安全备份,版本 18.1.0.1.0Oracle 安全备份
Oracle 服务总线,版本 12.2.1.4.0融合中间件
Oracle SOA 套件,版本 12.2.1.4.0融合中间件
Oracle Solaris,版本 11系统
Oracle Spatial Studio,版本 22.3.0数据库
Oracle TimesTen 内存数据库,版本 22.1.1.1.0-22.1.1.11.0数据库
Oracle 公用事业应用程序框架,版本 4.2.0.3.0、4.3.0.1.0-4.3.0.6.0、4.4.0.0.0、4.4.0.2.0、4.4.0.3.0、4.5.0.0.0、4.5。 0.1.0、4.5.0.1.1Oracle 公用事业应用程序
Oracle 公用事业网络管理系统,版本 2.4.0.1.21、2.5.0.0.9、2.5.0.1、2.5.0.1.11、2.5.0.2、2.5.0.2.3、2.6.0.0Oracle 公用事业应用程序
Oracle 公用事业测试加速器,版本 6.0.0.1-7.0.0.0Oracle 公用事业应用程序
Oracle VM VirtualBox,6.1.46 之前的版本、7.0.10 之前的版本虚拟化
Oracle WebCenter Content,版本 12.2.1.4.0融合中间件
Oracle WebCenter 站点,版本 12.2.1.4.0融合中间件
Oracle WebLogic Server,版本 12.2.1.4.0、14.1.1.0.0融合中间件
PeopleSoft Enterprise PeopleTools,版本 8.59、8.60仁科
Primavera 网关,版本 18.8.0-18.8.15、19.12.0-19.12.16、20.12.0-20.12.11、21.12.0-21.12.9Oracle 建筑和工程套件
Primavera P6 企业项目组合管理,版本 22.12.2、22.12.3Oracle 建筑和工程套件
Primavera Unifier,版本 18.8.0-18.8.18、19.12.0-19.12.16、20.12.0-20.12.16、21.12.0-21.12.15、22.12.0-22.12.6Oracle 建筑和工程套件
Siebel 应用程序,版本 22.12 及之前版本、23.6 及之前版本西贝尔


Note:

  • 影响 Oracle Solaris 的漏洞可能会影响 Oracle ZFSSA,因此 Oracle 客户应参阅 Oracle 和 Sun Systems 产品套件重要补丁更新知识文档My Oracle Support 说明 2160904.1(https://support.oracle.com/rs?type=doc&id=2160904.1,了解解决重要补丁更新中发布的 ZFSSA 问题所需的安全补丁最低修订版本的信息和 Solaris 第三方公告。
  • Solaris 第三方公告用于发布与 Oracle Solaris 一起分发的第三方软件的安全补丁。Solaris 10 客户应参考最新的补丁集,其中包含系统补丁可用性文档中详细介绍的关键安全补丁。有关详细信息,请参阅 CVE ID 和 Solaris 补丁的参考索引(My Oracle Support 说明 1448883.1:https://support.oracle.com/rs?type=doc&id=1448883.1)。
  • 使用浏览器运行 Java SE 的用户可以从https://java.com下载最新版本Windows 和 Mac OS X 平台上的用户还可以使用自动更新(https://www.java.com/en/download/help/java_update.xml来获取最新版本。


Oracle 数据库产品风险表

此重要补丁更新包含 15 个针对 Oracle 数据库产品的新安全补丁,划分如下:

  • Oracle 数据库产品的 5 个新安全补丁
  • Oracle Application Express 的 3 个新安全补丁
  • Oracle Big Data Spatial and Graph 没有新的安全补丁,但提供了第三方补丁
  • Oracle Essbase 的 2 个新安全补丁
  • Oracle GoldenGate 的 2 个新安全补丁
  • 1 个针对 Oracle Graph Server 和 Client 的新安全补丁
  • Oracle NoSQL 数据库没有新的安全补丁,但提供了第三方补丁
  • Oracle Secure Backup 没有新的安全补丁,但提供了第三方补丁
  • Oracle Spatial Studio 的 1 个新安全补丁
  • Oracle TimesTen 内存数据库的 1 个新安全补丁

Oracle 数据库服务器风险表

此重要补丁更新包含 5 个新的安全补丁,以及下面提到的针对 Oracle 数据库产品的其他第三方补丁其中 1 个漏洞无需身份验证即可远程利用,即无需用户凭据即可通过网络利用。其中 1 个补丁适用于仅客户端安装,即未安装 Oracle 数据库服务器的安装。可以在此处找到此风险矩阵的英文文本形式

CVE ID成分所需的套餐和/或特权协议未经身份验证的远程
利用 ?

CVSS 版本 3.1 风险受影响的支持版本笔记
基础
分数		攻击
向量		攻击
复合体
需要隐私		用户
互动		范围保密
诚信
_		可用性
_
CVE-2022-43680Oracle 文本 (LibExpat)创建会话,创建索引甲骨文网6.5网络低的低的没有任何
改变		没有任何没有任何高的19.3-19.19, 21.3-21.10 
CVE-2023-23931OML4Py(密码学)创建会话甲骨文网5.4网络低的低的没有任何
改变		没有任何低的低的21.3-21.10 
CVE-2023-22034统一审核系统数据库管理员甲骨文网4.9网络低的高的没有任何
改变		没有任何高的没有任何19.3-19.19, 21.3-21.10 
CVE-2023-21949高级网络选项没有任何甲骨文网是的3.7网络高的没有任何没有任何
改变		没有任何低的没有任何19.3-19.19, 21.3-21.10 
CVE-2023-22052Java虚拟机创建会话、创建过程多种的3.1网络高的低的没有任何
改变		没有任何低的没有任何19.3-19.19, 21.3-21.10 

此重要补丁更新中包含的其他补丁适用于该 Oracle 产品系列的以下不可利用的 CVE:

  • 核心 (lz4):CVE-2021-3520 [VEX 理由:vulnerable_code_cannot_be_driven_by_adversary]。
  • Oracle 数据库 (Apache Tomcat):CVE-2023-34981、CVE-2022-45143、CVE-2023-24998、CVE-2023-28708 和 CVE-2023-28709 [VEX 理由:存在漏洞的代码]。
  • Oracle Database Workload Manager (Dexie):CVE-2022-21189 和 CVE-2023-30533 [VEX 理由:vulnerable_code_not_in_execute_path]。

仅 Oracle 数据库服务器客户端安装

  • 此重要补丁更新中包含的以下 Oracle 数据库服务器漏洞影响仅客户端安装:CVE-2023-21949。


Oracle GoldenGate 风险矩阵

此重要补丁更新包含 2 个新的安全补丁,以及下面提到的针对 Oracle GoldenGate 的其他第三方补丁其中 1 个漏洞无需身份验证即可远程利用,即无需用户凭据即可通过网络利用。可以在此处找到此风险矩阵的英文文本形式

CVE ID产品成分协议未经身份验证的远程
利用 ?

CVSS 版本 3.1 风险受影响的支持版本笔记
基础
分数		攻击
向量		攻击
复合体
需要隐私		用户
互动		范围保密
诚信
_		可用性
_
CVE-2022-42003Oracle GoldenGate 流分析Oracle GoldenGate 流分析 (jackson-databind)HTTP协议6.5网络低的低的没有任何
改变		没有任何没有任何高的19.1.0.0.0-19.1.0.0.7 
CVE-2022-36033Oracle GoldenGate 流分析Oracle GoldenGate 流分析 (jsoup)HTTP协议是的6.1网络低的没有任何必需的改变了低的低的没有任何19.1.0.0.0-19.1.0.0.7 


解决的其他 CVE 包括:

  • CVE-2022-42003 的补丁还解决了 CVE-2022-42004。

此重要补丁更新中包含的其他补丁适用于该 Oracle 产品系列的以下不可利用的 CVE:

  • 甲骨文金门
    • Oracle GoldenGate (zlib):CVE-2022-37434 [VEX 理由:vulnerable_code_not_in_execute_path]。
  • Oracle GoldenGate 流分析
    • Oracle GoldenGate 流分析 (Apache Hadoop):CVE-2022-25168 和 CVE-2021-25642 [VEX 理由:vulnerable_code_not_in_execute_path]。
    • 安全性 (Apache Calcite):CVE-2022-39135 [VEX 理由:vulnerable_code_not_in_execute_path]。
    • 安全性 (Apache Commons FileUpload):CVE-2023-24998 [VEX 理由:vulnerable_code_not_in_execute_path]。
    • 安全性 (Apache Ivy):CVE-2022-37865 和 CVE-2022-37866 [VEX 理由:vulnerable_code_not_in_execute_path]。
    • 安全性 (Apache Kafka):CVE-2023-25194 [VEX 理由:vulnerable_code_not_in_execute_path]。
    • 安全性 (Apache Spark):CVE-2023-22946 和 CVE-2022-31777 [VEX 理由:vulnerable_code_not_in_execute_path]。
    • 安全性 (Apache ZooKeeper):CVE-2020-7712 [VEX 理由:vulnerable_code_not_in_execute_path]。
    • 安全性 (Netty):CVE-2022-41881 和 CVE-2022-41915 [VEX 理由:vulnerable_code_not_in_execute_path]。
    • Web 层 (jQueryUI):CVE-2021-41184、CVE-2021-41182 和 CVE-2021-41183 [VEX 理由:vulnerable_code_not_in_execute_path]。


Oracle NoSQL 数据库风险矩阵

此重要补丁更新不包含针对可利用漏洞的新安全补丁,但包含针对Oracle NoSQL 数据库的以下不可利用第三方 CVE 的第三方补丁(如下所述) 。如果上次重要补丁更新未应用于 Oracle NoSQL 数据库,请参阅之前的重要补丁更新公告。可以在此处找到此风险矩阵的英文文本形式

此重要补丁更新中包含的其他补丁适用于该 Oracle 产品系列的以下不可利用的 CVE:

  • Oracle NoSQL 数据库
    • 管理 (Netty):CVE-2022-41881 和 CVE-2022-41915 [VEX 理由:vulnerable_code_not_in_execute_path]。


Oracle TimesTen 内存数据库风险矩阵

此重要补丁更新包含 1 个新的安全补丁,以及下面提到的针对 Oracle TimesTen In-Memory Database 的其他第三方补丁此漏洞无需身份验证即可远程利用,即无需用户凭据即可通过网络利用。可以在此处找到此风险矩阵的英文文本形式

CVE ID产品成分协议未经身份验证的远程
利用 ?

CVSS 版本 3.1 风险受影响的支持版本笔记
基础
分数		攻击
向量		攻击
复合体
需要隐私		用户
互动		范围保密
诚信
_		可用性
_
CVE-2020-35168Oracle TimesTen 内存数据库TimesTen IMDB(戴尔 BSAFE 微型版套件)多种的是的8.1网络高的没有任何没有任何
改变		高的高的高的22.1.1.1.0-22.1.1.6.0 


解决的其他 CVE 包括:

  • CVE-2020-35168 的补丁还解决了 CVE-2020-29508、CVE-2020-35163、CVE-2020-35164、CVE-2020-35166、CVE-2020-35167 和 CVE-2020-35169。

此重要补丁更新中包含的其他补丁适用于该 Oracle 产品系列的以下不可利用的 CVE:

  • Oracle TimesTen 内存数据库
    • EM TimesTen 插件 (Golang Go):CVE-2023-24532 [VEX 理由:vulnerable_code_not_in_execute_path]。
    • EM TimesTen 插件 (Netty):CVE-2022-41881 和 CVE-2022-41915 [VEX 理由:vulnerable_code_not_in_execute_path]。


Oracle MySQL 风险矩阵

此重要补丁更新包含 24 个针对 Oracle MySQL 的新安全补丁。其中 11 个漏洞无需身份验证即可远程利用,即无需用户凭据即可通过网络利用。可以在此处找到此风险矩阵的英文文本形式

CVE ID产品成分协议未经身份验证的远程
利用 ?

CVSS 版本 3.1 风险(请参阅风险矩阵定义受影响的支持版本笔记
基础
分数		攻击
向量		攻击
复合体
需要隐私		用户
互动		范围保密
诚信
_		可用性
_
CVE-2023-20862MySQL 企业监控器监控:一般(Spring Security)多种的是的9.8网络低的没有任何没有任何
改变		高的高的高的8.0.34 及之前版本 
CVE-2022-37865MySQL 企业监控器监控:常规 (Apache Ivy)多种的是的9.1网络低的没有任何没有任何
改变		没有任何高的高的8.0.34 及之前版本 
CVE-2022-4899MySQL集群集群:一般(Zstandard)多种的是的7.5网络低的没有任何没有任何
改变		没有任何没有任何高的8.0.33 及之前版本 
CVE-2023-0361MySQL集群集群:NDB 操作员 (GnuTLS)多种的是的7.5网络低的没有任何没有任何
改变		高的没有任何没有任何8.0.33 及之前版本 
CVE-2022-4899MySQL 连接器连接器/C++(Z标准)MySQL协议是的7.5网络低的没有任何没有任何
改变		没有任何没有任何高的8.0.33 及之前版本 
CVE-2023-24998MySQL 企业监控器监控:常规(Apache Commons FileUpload)多种的是的7.5网络低的没有任何没有任何
改变		没有任何没有任何高的8.0.34 及之前版本 
CVE-2023-28709MySQL 企业监控器监控:常规 (Apache Tomcat)多种的是的7.5网络低的没有任何没有任何
改变		没有任何没有任何高的8.0.34 及之前版本 
CVE-2023-2650MySQL 企业监控器监控:常规 (OpenSSL)多种的是的7.5网络低的没有任何没有任何
改变		没有任何没有任何高的8.0.34 及之前版本 
CVE-2022-4899MySQL服务器服务器:编译(Zstandard)MySQL协议是的7.5网络低的没有任何没有任何
改变		没有任何没有任何高的8.0.33 及之前版本 
CVE-2023-2650MySQL工作台工作台(OpenSSL)MySQL工作台是的7.5网络低的没有任何没有任何
改变		没有任何没有任何高的8.0.33 及之前版本 
CVE-2023-28484MySQL工作台工作台(libxml2)MySQL工作台是的6.5网络低的没有任何必需的
改变		没有任何没有任何高的8.0.33 及之前版本 
CVE-2023-22053MySQL服务器客户端程序MySQL协议5.9网络高的低的没有任何
改变		低的没有任何高的5.7.42 及之前版本、8.0.33 及之前版本 
CVE-2023-22008MySQL服务器数据库MySQL协议4.9网络低的高的没有任何
改变		没有任何没有任何高的8.0.33 及之前版本 
CVE-2023-22046MySQL服务器服务器:优化器MySQL协议4.9网络低的高的没有任何
改变		没有任何没有任何高的8.0.33 及之前版本 
CVE-2023-22054MySQL服务器服务器:优化器MySQL协议4.9网络低的高的没有任何
改变		没有任何没有任何高的8.0.33 及之前版本 
CVE-2023-22056MySQL服务器服务器:优化器MySQL协议4.9网络低的高的没有任何
改变		没有任何没有任何高的8.0.33 及之前版本 
CVE-2023-21950MySQL服务器服务器:复制MySQL协议4.9网络低的高的没有任何
改变		没有任何没有任何高的8.0.27 及之前版本 
CVE-2023-22007MySQL服务器服务器:复制MySQL协议4.9网络低的高的没有任何
改变		没有任何没有任何高的5.7.41 及之前版本、8.0.32 及之前版本 
CVE-2023-22057MySQL服务器服务器:复制MySQL协议4.9网络低的高的没有任何
改变		没有任何没有任何高的8.0.33 及之前版本 
CVE-2023-22033MySQL服务器数据库MySQL协议4.4网络高的高的没有任何
改变		没有任何没有任何高的8.0.33 及之前版本 
CVE-2023-22058MySQL服务器服务器:DDLMySQL协议4.4网络高的高的没有任何
改变		没有任何没有任何高的8.0.33 及之前版本 
CVE-2023-22005MySQL服务器服务器:复制MySQL协议4.4网络高的高的没有任何
改变		没有任何没有任何高的8.0.33 及之前版本 
CVE-2023-22048MySQL服务器服务器:可插入身份验证MySQL协议3.1网络高的低的没有任何
改变		低的没有任何没有任何8.0.33 及之前版本 
CVE-2023-22038MySQL服务器服务器:安全:权限MySQL协议2.7网络低的高的没有任何
改变		没有任何低的没有任何8.0.33 及之前版本 


解决的其他 CVE 包括:

  • CVE-2022-37865 的补丁还解决了 CVE-2022-37866 的问题。
  • CVE-2023-2650 的补丁还解决了 CVE-2023-0464、CVE-2023-0465、CVE-2023-0466 和 CVE-2023-1255。
  • CVE-2023-28484 的补丁还解决了 CVE-2023-29469。


文章来源:https://www.oracle.com/security-alerts/cpujul2023.html


oracle
最后修改时间:2023-07-19 11:40:00
「喜欢这篇文章,您的关注和赞赏是给作者最好的鼓励」
关注作者
【版权声明】本文为墨天轮用户原创内容,转载时必须标注文章的来源(墨天轮),文章链接,文章作者等基本信息,否则作者和墨天轮有权追究责任。如果您发现墨天轮中有涉嫌抄袭或者侵权的内容,欢迎发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。

评论