Oracle 发布了重要修补程式更新公告,包括一系列应对 Java SE 和不同 Oracle 产品中多个漏洞的安全修补程式。
在多个受影响的 Java 子部件中,包括 AWT、Concurrency、Hotspot、Install、JAXP、JMX、Libraries、RMI、Security 及 Serialization,发现了 14 个漏洞。当中 12 个可被未获授权的攻击者从远端攻击及其他漏洞影响 Java 的服务端部件。
对于在 Oracle 产品中发现的漏洞,攻击者可透过实体访问或通过多种规约,包括HTTP、HTTPS、NFS、LDAP、T3、TLS、MySQL protocol 及 XCom 经网络从远端攻击。
攻击者可通过多种方式攻击受影响的系统。对于 Java,攻击者可诱使用户开启载有不可靠 Java applet 或含恶意内容的 Java Web Start 应用程式的特制网页,或以 Java launcher 起动执行档。对于其他 Oracle 产品,远端攻击者可传送特制的网络封包到受影响系统攻击这些漏洞。
有关受影响产品的完整列表,请参阅以下连结:
http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html
成功攻击这些漏洞可导致拒绝服务、篡改数据、泄漏资讯或控制受影响的系统,视乎攻击者利用哪个漏洞而定。
现已有适用于受影响系统的修补程式。受影响系统的用户应遵从产品供应商的建议,立即采取行动以降低风险。Oracle Java SE 产品的修补程式可从以下连结下载:
关于其他 Oracle 产品,请参阅供应商网站相关安全公告中 “Patch Availability Table and Risk Matrices"的部分:
http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html
用户可联络其产品支援供应商,以取得修补程式及有关支援。
http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html
http://www.oracle.com/technetwork/java/javase/documentation/10u-relnotes-4108739.html
http://www.oracle.com/technetwork/java/javase/documentation/8u-relnotes-2225394.html
https://www.hkcert.org/my_url/en/alert/18041801
https://www.us-cert.gov/ncas/current-activity/2018/04/17/Oracle-Releases-April-2018-Security-Bulletin
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1768
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7501
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7940
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0635
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3092
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3506
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5007
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5019
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6304
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6814
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9878
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3736
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3737
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5645
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5662
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5664
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5753
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7525
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7805
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9798
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12617
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-13082
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15095
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-17562
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0739
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2563
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2572
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2587
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2628
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2718
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2737 (to CVE-2018-2739)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2742
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2746 (to CVE-2018-2750)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2752 (to CVE-2018-2756)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2758 (to CVE-2018-2766)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2768 (to CVE-2018-2874)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2876 (to CVE-2018-2879)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7489