Java SE 7 可供公众下载的最后更新版本已于 2015 年 4 月发布。用户须考虑更新至最新的 Java SE 版本或联络其产品支持供货商,以延长支持。
> http://www.oracle.com/technetwork/java/javase/overview/index.html
Oracle 发布了重要修补程序更新公告,包括一系列应对 Java SE 和不同 Oracle 产品中多个漏洞的安全修补程序。
在多个受影响的 Java 子部件中,包括 2D 、 CORBA 、 Deployment 、 Hotspot 、 Install 、 JCE 、JMX 、JNDI 、JSSE 、 Libraries 、 RMI和 Security,发现了 25 个漏洞。当中23个漏洞可被未获授权的攻击者从远程攻击,其中 8 个漏洞更可影响 Java 的服务端部件(例如通过网络服务)。
对于在 Oracle 产品中发现的这些漏洞,攻击者可通过多种规约,包括 HTTP 、HTTPS 、Kerberos 、 MySQL Protocol 、 Oracle Net 、 SQLNET 、 SSL/TLS 及 X11 经网络从远程攻击。
攻击者可通过多种方式攻击受影响的系统。对于 Java , 攻击者可诱使用户开启载有不可靠 Java applet 或含恶意内容的 Java Web Start 应用程序的特制网页,或以 Java launcher 起动执行档。对于其他 Oracle 产品,远程攻击者可传送特制的网络封包到受影响系统攻击这些漏洞。
关于受影响产品的详细数据,请参阅供货商网站相关安全公告中 “Affected Products and Components” 的部分:
http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html
成功攻击这些漏洞可导致执行程序代码、服务受阻断、提升权限、取得敏感数据、绕过保安限制或控制受影响系统,视乎攻击者利用哪个漏洞而定。
现已有适用于受影响系统的修补程序。受影响系统的用户应遵从产品供货商的建议,立即采取行动以降低风险。
Oracle Java SE 产品的修补程序可从以下链接下载:
关于其他 Oracle 产品,请参阅供货商网站相关安全公告中 “Patch Availability Table and Risk Matrices" 的部分:
http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html
用户可联络其产品支持供货商,以取得修补程序及有关支持。
http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html
http://www.oracle.com/technetwork/java/javase/8u51-relnotes-2587590.html
https://www.hkcert.org/my_url/en/alert/15071519
https://www.us-cert.gov/ncas/current-activity/2015/07/14/Oracle-Releases-July-2015-Security-Advisory
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1324
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0036
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2186
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2251
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5704
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0227
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0230
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1568 (至 CVE-2014-1569)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566 (至 CVE-2014-3567)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3570 (至 CVE-2014-3571)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7809
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8102
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0235
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0255
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0286
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0443 (至 CVE-2015-0446)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0467 (至 CVE-2015-0468)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1803
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1926
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2580 (至 CVE-2015-2607)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2609 (至 CVE-2015-2632)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2634 (至 CVE-2015-2641)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2643 (至 CVE-2015-2664)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2808
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3456
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4000
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4727 (至 CVE-2015-4729)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4731 (至 CVE-2015-4733)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4735 (至 CVE-2015-4761)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4763 (至 CVE-2015-4765)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4767 (至 CVE-2015-4790)