1. 主页
  2. 保安警报
  3. 保安警报 (A17-10-06)

保安警报(A17-10-06): Oracle Java 及 Oracle 产品多个漏洞 (2017年10月)


 

发布日期: 2017年 10月 18日

  
  

描述:

Oracle 发布了重要修补程式更新公告,包括一系列应对 Java SE 和不同 Oracle 产品中多个漏洞的安全修补程式。

在多个受影响的 Java 子部件中,包括 2D, Deployment, Hotspot, Javadoc, JAXP, JAX-WS, Libraries, Networking, RMI, Security, Serialization, Server, Smart Card IO 和 Util(zlib),发现了 22 个漏洞。当中20个漏洞可被未获授权的攻击者从远端攻击及4个漏洞影响Java的服务端部件。

对于在 Oracle 产品中发现的漏洞,攻击者可透过实体访问或通过多种规约,包括 HTTP, HTTPS, Kerberos, MySQL Protocol, NTP 及 Oracle Net 经网络从远端攻击。

攻击者可通过多种方式攻击受影响的系统。对于 Java,攻击者可诱使用户开启载有不可靠 Java applet 或含恶意内容的 Java Web Start 应用程式的特制网页,或以 Java launcher 起动执行档。对于其他 Oracle 产品,远端攻击者可传送特制的网络封包到受影响系统攻击这些漏洞。

 

受影响的系统:

  • Oracle Java SE
  • Database
  • Oracle Linux and Virtualization
  • Oracle MySQL Product Suite
  • Oracle and Sun Systems Products Suite
  • Fusion Applications 及 Middleware

有关受影响产品的完整列表,请参阅以下连结:

http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html

 

影响:

成功攻击这些漏洞可导致拒绝服务、篡改数据、泄漏资讯或控制受影响的系统,视乎攻击者利用哪个漏洞而定。

 

建议:

现已有适用于受影响系统的修补程式。受影响系统的用户应遵从产品供应商的建议,立即采取行动以降低风险。

Oracle Java SE 产品的修补程式可从以下连结下载:

  • Java Platform SE 8 (JDK and JRE 8 Update 152)
    http://www.oracle.com/technetwork/java/javase/downloads/index.html

关于其他 Oracle 产品,请参阅供应商网站相关安全公告中「Patch Availability Table and Risk Matrices」的部分:

http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html

用户可联络其产品支援供应商,以取得修补程式及有关支援。

 

进一步信息:

http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
http://www.oracle.com/technetwork/java/javase/documentation/8u-relnotes-2225394.html
https://www.hkcert.org/my_url/zh/alert/17101801
https://www.us-cert.gov/ncas/current-activity/2017/10/17/Oracle-Releases-Security-Bulletin
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2808
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5254
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7501
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7940
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0635
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0714
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1181
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2183
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2834
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3092
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6304
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6814
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-7431
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8735
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9841
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-10165
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3167
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3588
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3731
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3733
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5662
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5664
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10026
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10033
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10034
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10037
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10051
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10055
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10060
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10099
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10152
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10154
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10155
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10163
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10165
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10166
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10167
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10190
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10194
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10203
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10227
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10259
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10260
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10261
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10265
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10268
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10270
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10271
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10274 (to CVE-2017-10277)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10279
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10281
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10283 (to CVE-2017-10286)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10292 (to CVE-2017-10296)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10309
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10311
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10313
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10314
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10320
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10321
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10334
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10336
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10341
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10342
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10345 (to CVE-2017-10350)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10352
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10355
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10356
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10357
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10360
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10365
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10369
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10378 (to CVE-2017-10380)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10384 (to CVE-2017-10386)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10388
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10391 (to CVE-2017-10393)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10400
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10407
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10408
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10424
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10428

 



标签 : Fusion , Java , MySQL , Oracle , Oracle Database , Oracle Linux , Sun Systems
标签