1. 主页
  2. 保安警报
  3. 保安警报 (A17-01-04)

保安警报 (A17-01-04): Oracle Java 及 Oracle 产品多个漏洞 (2017年1月)


 

发布日期: 2017年 1月 18日

  
  

描述:

Oracle 发布了重要修补程序更新公告,包括一系列应对 Java SE 和不同 Oracle 产品中多个漏洞的安全修补程序。

在多个受影响的 Java 子部件中,包括2D, AWT, Deployment, Hotspot, JAAS, Java Mission Control, Libraries, Networking和RMI,发现了17个漏洞。其中16个漏洞可被未获授权的攻击者从远程攻击。

对于在 Oracle 产品中发现的漏洞,攻击者可透过实体访问或通过多种规约,包括 HTTP, HTTPS, LDAP, MySQL Protocol, Oracle Net, TLS, T3, 及SMTP经网络从远程攻击。

攻击者可通过多种方式攻击受影响的系统。对于 Java,攻击者可诱使用户开启载有不可靠 Java applet 或含恶意内容的 Java Web Start 应用程序的特制网页,或以 Java launcher 起动执行档。对于其他 Oracle 产品,远程攻击者可传送特制的网络封包到受影响系统攻击这些漏洞。

 

受影响的系统:

  • Database
  • E-Business Suite
  • Enterprise Manager
  • Fusion Applications and Middleware
  • JD Edwards
  • MICROS Lucas
  • Oracle Big Data Graph
  • Oracle Commerce
  • Oracle Communications Applications
  • Oracle Financial Services Applications
  • Oracle Java SE
  • Oracle Linux and Virtualization
  • Oracle MySQL Product Suite
  • Oracle Primavera Products Suite
  • Oracle Retail Applications
  • Oracle Secure Backup
  • Oracle Supply Chain Products
  • Oracle and Sun Systems Products Suite
  • PeopleSoft
  • Siebel CRM

关于受影响产品的详细数据,请参阅供货商网站相关安全公告中 “Affected Products and Components” 的部分:

http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html

 

影响:

成功攻击这些漏洞可导致执行程序代码、服务受阻断、数据操纵、取得敏感数据或控制受影响的系统,视乎攻击者利用哪个漏洞而定。 

 

建议:

现已有适用于受影响系统的修补程序。受影响系统的用户应遵从产品供货商的建议,立即采取行动以降低风险。
Oracle Java SE 产品的修补程序可从以下链接下载:

  • Java Platform SE 8 (JDK 及 JRE 8 Update 121)
    http://www.oracle.com/technetwork/java/javase/downloads/index.html

关于其他 Oracle 产品,请参阅供货商网站相关安全公告中 “Patch Availability Table and Risk Matrices"的部分:

http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html

用户可联络其产品支持供货商,以取得修补程序及有关支持。

 

进一步信息:

http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html
http://www.oracle.com/technetwork/java/javase/8u121-relnotes-3315208.html
https://www.hkcert.org/my_url/en/alert/17011801
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0250
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1791
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3237
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3253
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5055
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7501
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7940
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2183
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0635
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0714
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0734
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1182
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1903
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5000
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5019
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5509
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5528
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5541
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5545 (to CVE-2016-5549)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5552
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5590
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5614
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5623
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6303
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6304
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-7052
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8282
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8297 (to CVE-2016-8320)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8322 (to CVE-2016-8330)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3231
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3235
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3236
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3238 (to CVE-2017-3253)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3255 (to CVE-2017-3287)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3289 (to CVE-2017-3301)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3303
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3310 (to CVE-2017-3328)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3330
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3332
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3333
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3359
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3361
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3362
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3363
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3368
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3369
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3372
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3373
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3415
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3418
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3421
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3440
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3443 



标签 : Oracle Database , Oracle Linux , Oracle , Java , MySQL , Sun Systems , Fusion , E-Business Suite , Enterprise Manager , JD Edwards , MICROS Lucas , Oracle Big Data Graph , Oracle Commerce , Oracle Communications , Oracle Financial Services , Oracle Primavera , Oracle Secure Backup , Oracle Supply Chain , PeopleSoft , Oracle Retail , Siebel
标签