介绍
本文档 Oracle Support 说明的目的是提供 2023 年 7 月重要补丁更新的执行摘要和分析。请参阅位于《 2023年7月 Oracle 重要补丁更新公告》, 了解有关此重要补丁更新中修复的漏洞的详细信息以及补丁下载信息。
2023 年 7 月重要补丁更新内容摘要
2023 年 7 月重要补丁更新解决了多个产品系列中的 508 个新安全漏洞,包括:Oracle Database Server、Oracle Application Express、Oracle Essbase、Oracle GoldenGate、Oracle Graph Server 和 Client、Oracle Spatial Studio、Oracle TimesTen In-Memory Database、Oracle商务、Oracle 通信应用程序、Oracle 通信、Oracle 建筑和工程、Oracle 电子商务套件、Oracle 企业管理器、Oracle 金融服务应用程序、Oracle 食品和饮料应用程序、Oracle 融合中间件、Oracle 分析、Oracle 健康科学应用程序、Oracle 酒店应用程序、Oracle Hyperion、Oracle 保险应用程序、Oracle Java SE、Oracle JD Edwards、Oracle MySQL、Oracle PeopleSoft、Oracle 保单自动化、Oracle 零售应用程序、Oracle Siebel CRM、Oracle 供应链、Oracle 系统、Oracle 公用事业应用程序、Oracle 虚拟化。
此重要补丁更新中软件补丁的来源
Oracle 在单独的部分(每个风险矩阵下方)列出了第三方组件中的漏洞,这些漏洞 在包含这些组件的 Oracle 产品环境中是不可利用的。不可利用的 CVE 补丁不包含在本文档的汇总计数中。有关更多信息,请参阅 https://www.oracle.com/security-alerts/thirdpartycomponents.html。
提供的 508 个安全补丁中有 449 个 (约 88%)针对非 Oracle CVE:即针对包含且可利用的第三方产品(例如开源组件)中的问题的安全修复在其 Oracle 产品发行版的上下文中。CVSS v3.1 标准。
继续考虑将 CVSS 基本评分在 9.0 到 10.0 之间的漏洞定性评级为“严重”。CVSS 基本评分在 7.0 到 8.9 之间的漏洞定性评级为“高”。与之前的重要补丁更新版本一样,非 Oracle CVE 涉及大量严重和高严重性漏洞:449 个非 Oracle CVE 中有 312 个涉及高严重性漏洞。
请注意,在许多情况下,相同的 CVE 会在重要补丁更新公告中多次列出,因为易受攻击的通用组件(例如 Apache)可能存在于许多不同的 Oracle 产品中。
跨 Oracle 产品系列的软件补丁重新分配
2023 年 7 月重要补丁更新为 Oracle 数据库产品提供了许多安全更新,包括:
- Oracle 数据库服务器有 5 个新的安全更新,报告的 CVSS 基本分数最高为 6.5。
- 其中 1 个更新适用于 Oracle 数据库的仅客户端部署。
- Oracle Application Express 的 3 个新安全更新,报告的 CVSS 基本分数最高为 9.0。
- Oracle Essbase 的 2 个新安全更新,报告的 CVSS 基本分数最高为 6.0。
- Oracle GoldenGate 的 2 个新安全更新,报告的 CVSS 基本得分最高为 6.5。
- Oracle 图形服务器和客户端有 1 个新的安全更新,报告的 CVSS 基本分数最高为 7.5。
- Oracle Spatial Studio 的 1 个新安全更新,报告的 CVSS 基本得分最高为 4.3。
- Oracle TimesTen 内存数据库有 1 个新的安全更新,报告的 CVSS 基本分数最高为 8.1。
此重要补丁更新为 Oracle 融合中间件提供了 60 个新的安全更新:
- 40 个融合中间件漏洞无需身份验证即可远程利用。
- 针对这些融合中间件漏洞报告的最严重的 CVSS 基本评分为 9.8。
- 请注意,中间件组件通常暴露在互联网上,并且常常成为恶意攻击者的目标。强烈建议按照 Oracle 的安全部署建议来部署这些组件,并立即应用安全更新。
2023 年 7 月重要补丁更新为其他 Oracle 系列提供了许多安全更新,包括:
- Oracle Commerce 收到 8 个新的安全更新,报告的 CVSS 基本得分最高为 7.5。
- Oracle 通信应用程序收到 40 个新的安全更新,报告的 CVSS 基本得分最高为 9.8。
- Oracle Communications 收到 77 个新的安全更新,报告的 CVSS 基本得分最高为 9.8。
- Oracle Construction and Engineering 收到 6 个新的安全更新,报告的 CVSS 基本得分最高为 7.5。
- Oracle E-Business Suite 收到 5 个新的安全更新,报告的 CVSS 基本得分最高为 6.5。
- Oracle Enterprise Manager 收到 8 个新的安全更新,报告的 CVSS 基本得分最高为 9.8。
- Oracle 金融服务应用程序收到 147 个新的安全更新,报告的 CVSS 基本评分最高为 9.8。
- Oracle 食品和饮料应用程序收到 1 个新的安全更新,报告的 CVSS 基本评分最高为 9.8。
- Oracle Analytics 收到 32 个新的安全更新,报告的 CVSS 基本得分最高为 9.8。
- Oracle Health Sciences Applications 收到 1 个新的安全更新,报告的 CVSS 基本得分最高为 6.5。
- Oracle Hospitality Applications 收到 2 个新的安全更新,报告的 CVSS 基本得分最高为 9.8。
- Oracle Hyperion 收到 3 个新的安全更新,报告的 CVSS 基本得分最高为 9.8。
- Oracle 保险应用程序收到 3 个新的安全更新,报告的 CVSS 基本分数最高为 7.5。
- Oracle Java SE 收到 9 个新的安全更新,报告的 CVSS 基本得分最高为 5.9。
- Oracle JD Edwards 收到 4 个新的安全更新,报告的 CVSS 基本得分最高为 9.8。
- Oracle MySQL 收到 24 个新的安全更新,报告的 CVSS 基本得分最高为 9.8。
- Oracle PeopleSoft 收到 9 个新的安全更新,报告的 CVSS 基本得分最高为 9.8。
- Oracle Policy Automation 收到 2 个新的安全更新,报告的最高 CVSS 基本分数为 7.5。
- Oracle 零售应用程序收到 11 个新的安全更新,报告的 CVSS 基本得分最高为 9.8。
- Oracle Siebel CRM 收到 9 个新的安全更新,报告的 CVSS 基本得分最高为 9.8。
- Oracle Supply Chain 收到 13 个新的安全更新,报告的 CVSS 基本得分最高为 9.8。
- Oracle Systems 收到 1 个新的安全更新,报告的 CVSS 基本分数最高为 7.8。
- Oracle 公用事业应用程序收到 14 个新的安全更新,报告的最高 CVSS 基本分数为 9.8。
- Oracle 虚拟化收到 4 个新的安全更新,报告的最高 CVSS 基本分数为 8.1。
此重要补丁更新对 Oracle 云的适用性
Oracle 云运营和安全团队定期评估 Oracle 的重要补丁更新和安全警报以及相关第三方安全更新(当它们可用时),并根据适用的变更管理流程应用相关补丁。
需要特定于其云服务的附加信息(且重要补丁更新公告中未提及)的云客户可以获取如下附加信息:
- Oracle 云(IaaS、PaaS 和 SaaS)客户应在其指定支持系统内提交 SR
- Oracle 托管云服务 (OMCS) 客户应联系其服务交付经理 (SDM) 或技术客户经理 (TAM)
- CRM On Demand 客户应通过服务请求 (SR) 请求状态
- 全球业务部门/行业云服务客户应在其指定支持系统内提交 SR,或者联系其客户成功经理(如果适用)
- Oracle Advertising 客户应联系其客户合作伙伴
- Oracle NetSuite 客户应在其 Oracle NetSuite 帐户中提交 Oracle NetSuite 支持案例
结论
Oracle 继续建议客户保留积极支持的版本,即使在某些补偿控制可能可用的情况下也是如此,Oracle 建议客户不要无故拖延地应用所有安全补丁。
了解更多信息
重要补丁更新的公告《 2023年7月 Oracle 重要补丁更新公告》来源 https://oracle.com/security-alerts/cpujul2023.html
有关 Oracle 安全实践的更多信息,请访问 https://www.oracle.com/corporate/security-practices
文章来源:https://support.oracle.com/epmos/faces/DocumentDisplay?_afrLoop=248799650376473&id=2943356.1&_afrWindowMode=0&_adf.ctrl-state=1av0z1mq0o_4
