政府电脑保安事故协调中心 - 保安警报(A15-04-07): Oracle Java 及 Oracle 产品多个漏洞

描述：

Oracle 发布了重要修补程序更新公告，包括一系列应对 Java SE 和不同 Oracle 产品中多个漏洞的安全修补程序。

在多个受影响的 Java 子部件中，包括 2D 、 Deployment 、 Hotspot 、 Install 、 JAX-WS 、JSSE 、 Libraries 、 RMI 、 Security 、 Serviceability 和 Swing ，发现了 14 个漏洞。这些漏洞均可被未获授权的攻击者从远程攻击，其中 3 个漏洞可以影响 Java 的服务端部件(例如通过网络服务)。

对于在 Oracle 产品中发现的这些漏洞，攻击者可通过多种规约，包括 HTTP 、HTTPS 、 LDAP 、 MySQL Protocol 、 Oracle Net 、 SQLNET 、 SSL/TLS 及 UDP 经网络从远程攻击。

攻击者可通过多种方式攻击受影响的系统。对于 Java ，攻击者可诱使用户开启载有不可靠 Java applet 或含恶意内容的 Java Web Start 应用程序的特制网页，或以 Java launcher 起动执行档。对于其他 Oracle 产品，远程攻击者可传送特制的网络封包到受影响系统攻击这些漏洞。

受影响的系统：

E-Business Suite
Enterprise Manager
Fusion Applications and Middleware
Health Sciences Applications
JD Edwards Product Suite
Oracle and Sun Systems Products Suite
Oracle Commerce Applications
Oracle Database
Oracle Java SE
Oracle MySQL Product Suite
Oracle Right Now Service Cloud
Oracle Supply Chain Products Suite
Oracle Support Tool
PeopleSoft Enterprise
Retail Applications
Siebel

关于受影响产品的详细数据，请参阅供货商网站相关安全公告中 “Affected Products and Components” 的部分：

http://www.oracle.com/technetwork/topics/security/cpuapr2015-2365600.html

影响：

成功攻击这些漏洞可导致执行程序代码、提升权限、服务受阻断、取得敏感数据、绕过保安限制或控制受影响系统，视乎攻击者利用哪个漏洞而定。

建议：

现已有适用于受影响系统的修补程序。受影响系统的用户应遵从产品供货商的建议，立即采取行动以降低风险。

Oracle Java SE 产品的修补程序可从以下链接下载：

Java Platform SE7 (JDK 及 JRE 7 Update 80)
http://www.oracle.com/technetwork/java/javase/downloads/index.html

Oracle 已宣布 2015 年 4 月发布的这个重要修补程序更新，是可供公众下载的 Oracle JDK 7 最后更新版本。用户须考虑更新至最新的 Java SE 版本或联络其产品支持供货商，以延长支持。

http://www.oracle.com/technetwork/java/javase/overview/index.html

关于其他 Oracle 产品，请参阅供货商网站相关安全公告中 “Patch Availability Table and Risk Matrices＂的部分：

http://www.oracle.com/technetwork/topics/security/cpuapr2015-2365600.html

用户可联络其产品支持供货商，以取得修补程序及有关支持。

进一步信息：

http://www.oracle.com/technetwork/topics/security/cpuapr2015-2365600.html
http://www.oracle.com/technetwork/java/javase/7u80-relnotes-2494162.html
https://www.hkcert.org/my_url/en/alert/15041513
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4286
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4545
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0050
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0112
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1568
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3569
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3571
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7809
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0204
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0235
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0405
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0423
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0433
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0438 (to CVE-2015-0441)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0447 (to CVE-2015-0453)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0455 (to CVE-2015-0466)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0469 (to CVE-2015-0480)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0482 (to CVE-2015-0511)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2565 (to CVE-2015-2568)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2570 (to CVE-2015-2579)

标签 : Oracle , Java , Oracle Database , Fusion , Enterprise Manager , Oracle E-Business , Oracle Supply Chain , PeopleSoft , JD Edwards , Siebel , Oracle Commerce , Oracle Retail , Oracle Health Sciences , Sun Systems , MySQL , Oracle Right Now , Oracle Support Tool