Oracle 发布了重要修补程序更新公告,包括一系列应对 Java SE 和不同 Oracle 产品中多个漏洞的安全修补程序。
在多个受影响的 Java 子部件中,包括AWT、JAXP、JC、 Networking 和 Security,发现了8个漏洞。当中7个漏洞可被未获授权的攻击者从远程攻击及4个漏洞影响Java的服务端部件。
对于在 Oracle 产品中发现的漏洞,攻击者可透过实体访问或通过多种规约,包括 HTTP、 HTTPS、ICMP 、 MySQL Protocol、 Oracle Net、SCTP 、SFT 、SMB 、 SSH、SSL/TLS、 TCP、TLS 及 T3 经网络从远程攻击。
攻击者可通过多种方式攻击受影响的系统。对于 Java,攻击者可诱使用户开启载有不可靠 Java applet 或含恶意内容的 Java Web Start 应用程序的特制网页,或以 Java launcher 起动执行档。对于其他 Oracle 产品,远程攻击者可传送特制的网络封包到受影响系统攻击这些漏洞。
关于受影响产品的详细数据,请参阅供货商网站相关安全公告中 “Affected Products and Components” 的部分:
http://www.oracle.com/technetwork/security-advisory/cpuapr2017-3236618.html
成功攻击这些漏洞可导致执行程序代码、服务受阻断、篡改数据、泄漏信息或控制受影响的系统,视乎攻击者利用哪个漏洞而定。
现已有适用于受影响系统的修补程序。受影响系统的用户应遵从产品供货商的建议,立即采取行动以降低风险。
Oracle Java SE 产品的修补程序可从以下链接下载:
Java Platform SE 8 (JDK 及 JRE 8 Update 131)
- http://www.oracle.com/technetwork/java/javase/downloads/index.html
关于其他 Oracle 产品,请参阅供货商网站相关安全公告中 “Patch Availability Table and Risk Matrices"的部分:
- http://www.oracle.com/technetwork/security-advisory/cpuapr2017-3236618.html
用户可联络其产品支持供货商,以取得修补程序及有关支持。
http://www.oracle.com/technetwork/security-advisory/cpuapr2017-3236618.html
http://www.oracle.com/technetwork/java/javase/documentation/8u-relnotes-2225394.html
https://www.hkcert.org/my_url/zh/alert/17041901
https://www.us-cert.gov/ncas/current-activity/2017/04/18/Oracle-Releases-Security-Bulletin
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-2761
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0920
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5881
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1982
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2566
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5209
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0114
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3596
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0204
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3237
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4852
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5252
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7501
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7940
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0635
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0714
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0729
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0762
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1181
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2107
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2176
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2510
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3092
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3506
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3607
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3674
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3739
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5019
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5407
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5551
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6290
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6303
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6304
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8743
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3230
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3232 (to CVE-2017-3234)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3237
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3254
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3288
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3302
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3304 (to CVE-2017-3309)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3329
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3331
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3337
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3393
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3432
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3450 (to CVE-2017-3465)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3467 (to CVE-2017-3522)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3524 (to CVE-2017-3528)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3530 (to CVE-2017-3561)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3563 (to CVE-2017-3565)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3567 (to CVE-2017-3587)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3589 (to CVE-2017-3623)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3625
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3626
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3731
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3732
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5638