描述
关键补丁更新是针对多个安全漏洞的补丁集合。这些补丁解决了Oracle代码和Oracle产品中包含的第三方组件中的漏洞。这些补丁通常是累积的,但每个通知只描述自上一个关键补丁更新通知以来添加的安全补丁。因此,应该查看先前的关键补丁更新通知,以获取有关早期发布的安全补丁的信息。有关Oracle安全建议的信息,请参阅“关键补丁更新、安全警报和公告”。
Oracle继续定期收到恶意利用Oracle已经发布安全补丁的漏洞的报告。在某些情况下,据报道,攻击者之所以成功,是因为目标客户未能应用可用的Oracle补丁。因此,Oracle强烈建议客户继续使用积极支持的版本,并立即应用Critical Patch Update安全补丁。
此关键补丁更新包含433个新的安全补丁,涵盖以下列出的产品系列。请注意,总结此关键补丁更新和其他Oracle软件安全保证活动内容的MOS说明位于2023年4月关键补丁更新:执行摘要和分析。
重点漏洞概述
根据产品流行度和漏洞重要性筛选出此次更新中包含影响较大的漏洞,请相关用户重点进行关注:
Oracle WebLogic Server 信息泄露漏洞(CVE-2023-21931/ CVE-2023-21979):
Oracle WebLogic Server存在信息泄露漏洞,未经身份验证的攻击者通过T3协议向受影响的服务器发送特制的请求,可能实现对关键数据的非法访问或对所有Oracle WebLogic Server所有数据的完全访问,造成敏感信息泄露。
Oracle WebLogic Server拒绝服务漏洞(CVE-2023-21996):
Oracle WebLogic Server中存在拒绝服务漏洞,未经身份验证的攻击者通过HTTP协议向受影响的服务器发送恶意的请求,可能导致Oracle WebLogic Server挂起,或者程序崩溃,从而造成拒绝服务。
Oracle MySQL多个漏洞:
此次安全更新针对Oracle MySQL发布了34个安全补丁, 其中11个漏洞在未经用户身份验证的情况下远程进行利用,即无需用户凭据即可通过网络利用。高危漏洞编号如下:
CVE-2022-37434
CVE-2022-43548
Oracle Financial Services Applications多个漏洞:
此次安全更新针对Oracle Financial Services Applications发布了76个安全补丁。其中的59个漏洞在未经用户身份验证的情况下即可远程进行利用。高危漏洞编号如下:
CVE-2023-25194
CVE-2023-24998
Oracle Insurance Applications多个漏洞:
此次安全更新针对Oracle Insurance Applications发布了9个安全补丁。这9个漏洞在未经用户身份验证的情况下即可远程进行利用。攻击者可以通过HTTP访问网络发送恶意请求,从而控制产品中的组件实现对关键数据完全访问。高危漏洞编号如下:
CVE-2020-35168
CVE-2022-27404
CVE-2022-22965
CVE-2020-11987
Oracle Communications多个漏洞:
此次安全更新针对Oracle Communications发布了77个安全补丁,其中的65个漏洞在未经用户身份验证的情况下即可远程进行利用。高危漏洞编号如下:
CVE-2023-25613
CVE-2023-25690
Oracle Communications Applications多个漏洞:
此次安全更新针对Oracle Communications Applications发布了18个安全补丁。其中的13个漏洞在未经用户身份验证的情况下即可远程进行利用。高危漏洞如下:
CVE-2020-35168
CVE-2022-1471
CVE-2022-36760
CVE-2020-7009
Oracle E-Business Suite多个漏洞:
此次安全更新针对Oracle E-Business Suite发布了4个安全补丁。这4个漏洞在未经用户身份验证的情况下不可远程进行利用。高危漏洞编号如下:
CVE-2023-21978
Oracle Retail Applications多个漏洞:
此次安全更新针对Oracle Retail Applications发布了22个安全补丁。其中有16个漏洞在未经用户身份验证的情况下即可远程进行利用。高危漏洞编号如下:
CVE-2022-45047