Oracle 发布了重要修补程式更新公告,包括一系列应对 Java SE 和不同 Oracle 产品中多个漏洞的安全修补程式。
在多个受影响的 Java 子部件中,包括 2D、AWT、Deployment、Hotspot、ImageIO、JavaFX、JAXP、JAX-WS、JCE、Libraries、RMI、Scripting、Security、Serialization 和 Server,发现了32个漏洞。当中24个漏洞可被未获授权的攻击者从远端攻击及4个漏洞影响Java的服务端部件。
对于在 Oracle 产品中发现的漏洞,攻击者可透过实体访问或通过多种规约,包括HTTP、HTTP over TLS、HTTPS、IKE、LDAP、Memcached、MySQL Protocol、NFSv4、Oracle Net、SSL/TLS、TCP、T3 及 X Protocol 经网络从远端攻击。
攻击者可通过多种方式攻击受影响的系统。对于 Java,攻击者可诱使用户开启载有不可靠 Java applet 或含恶意内容的 Java Web Start 应用程式的特制网页,或以 Java launcher 起动执行档。对于其他 Oracle 产品,远端攻击者可传送特制的网络封包到受影响系统攻击这些漏洞。
关于受影响产品的详细资料,请参阅供应商网站相关安全公告中 “Affected Products and Components” 的部分:
http://www.oracle.com/technetwork/security-advisory/cpujul2017-3236622.html
成功攻击这些漏洞可导致拒绝服务、篡改数据、泄漏资讯或控制受影响的系统,视乎攻击者利用哪个漏洞而定。
现已有适用于受影响系统的修补程式。受影响系统的用户应遵从产品供应商的建议,立即采取行动以降低风险。
Oracle Java SE 产品的修补程式可从以下连结下载:
关于其他 Oracle 产品,请参阅供应商网站相关安全公告中 “Patch Availability Table and Risk Matrices"的部分:
http://www.oracle.com/technetwork/security-advisory/cpujul2017-3236622.html
用户可联络其产品支援供应商,以取得修补程式及有关支援。
http://www.oracle.com/technetwork/security-advisory/cpujul2017-3236622.html
http://www.oracle.com/technetwork/java/javase/documentation/8u-relnotes-2225394.html
https://www.hkcert.org/my_url/zh/alert/17071903
https://www.us-cert.gov/ncas/current-activity/2017/07/18/Oracle-Releases-Security-Bulletin
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2027
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1912
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0235
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0254
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3253
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5254
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7501
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7940
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0635
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1181
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2107
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2183
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2381
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2834
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3092
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3506
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4436
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5019
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5387
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6304
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6814
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3529
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3562
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3632 (to CVE-2017-3653)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3731 (to CVE-2017-3732)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5638
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5647
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5651
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5689
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10028 (to CVE-2017-10030)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10035
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10036
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10000 (to CVE-2017-10007)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10009 (to CVE-2017-10013)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10015 (to CVE-2017-10025)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10027 (to CVE-2017-10032)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10035 (to CVE-2017-10036)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10038 (to CVE-2017-10049)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10052
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10053
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10056 (to CVE-2017-10059)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10061 (to CVE-2017-10063)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10067
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10069 (to CVE-2017-10076)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10078 (to CVE-2017-10098)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10100 (to CVE-2017-10123)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10125 (to CVE-2017-10126)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10128 (to CVE-2017-10137)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10141 (to CVE-2017-10150)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10156
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10157
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10160
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10168 (to CVE-2017-10189)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10191 (to CVE-2017-10193)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10195 (to CVE-2017-10196)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10198 (to CVE-2017-10202)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10204 (to CVE-2017-10226)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10228 (to CVE-2017-10258)