Oracle 发布了重要修补程式更新公告,包括一系列应对 Java SE 和不同 Oracle 产品中多个漏洞的安全修补程式。一些产品的修补程式亦应对名为「Meltdown」和「Spectre」的保安问题,详情请参阅「建议」部分。
在多个受影响的 Java 子部件中,包括 AWT, Hotspot, I18n, Installer, JavaFX, JCE, JGSS, JMX, JNDI, LDAP, Libraries, Serialization 和 Server,发现了 21 个漏洞。当中 18 个可被未获授权的攻击者从远端攻击及其他漏洞影响 Java 的服务端部件。
对于在 Oracle 产品中发现的漏洞,攻击者可透过实体访问或通过多种规约,包括 HTTP, HTTPS, ICMP, TLS, MySQL Protocol, TCP/UDP 及 Oracle Net 经网络从远端攻击。
攻击者可通过多种方式攻击受影响的系统。对于 Java,攻击者可诱使用户开启载有不可靠 Java applet 或含恶意内容的 Java Web Start 应用程式的特制网页,或以 Java launcher 起动执行档。对于其他 Oracle 产品,远端攻击者可传送特制的网络封包到受影响系统攻击这些漏洞。
有关受影响产品的完整列表,请参阅以下连结:
http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html
成功攻击这些漏洞可导致拒绝服务、篡改数据、泄漏资讯或控制受影响的系统。
一些 Oracle 产品已发布修补程式以应对名为「Meltdown」和「Spectre」的保安问题。这些产品包括 Oracle Linux, Oracle VM, Oracle VM VirtualBox 及 Oracle X86 伺服器。系统管理员应参考附录中的最新更新。
https://support.oracle.com/rs?type=doc&id=2347948.1
现已有适用于受影响系统的修补程式。受影响系统的用户应遵从产品供应商的建议,立即采取行动以降低风险。
Oracle Java SE 产品的修补程式可从以下连结下载:
关于其他 Oracle 产品,请参阅供应商网站相关安全公告中 「Patch Availability Table and Risk Matrices」 的部分:
用户可联络其产品支援供应商,以取得修补程式及有关支援。
http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html
http://www.oracle.com/technetwork/java/javase/documentation/9u-relnotes-3704429.html
http://www.oracle.com/technetwork/java/javase/documentation/8u-relnotes-2225394.html
https://www.hkcert.org/my_url/zh/alert/18011702
https://www.us-cert.gov/ncas/current-activity/2018/01/16/Oracle-Releases-January-2018-Security-Bulletin
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2566
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3253
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7501
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7940
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0635
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0704
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1182
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2107
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2179
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5385
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9878
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0781
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3732
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3736
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3737
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5461
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5645
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5664
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5715
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9072
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9798
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10068
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10262
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10273
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10282
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10301
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10352
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12617
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-13077
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2560 (to CVE-2018-2562)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2564 (to CVE-2018-2571)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2573 (to CVE-2018-2586)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2588 (to CVE-2018-2597)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2599 (to CVE-2018-2627)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2629 (to CVE-2018-2717)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2719 (to CVE-2018-2733)