政府电脑保安事故协调中心 - 高危保安警报 (A18-07-06): Oracle Java 及 Oracle 产品多个漏洞 (2018年7月)

描述:

Oracle 发布了重要修补程式更新公告，包括一系列应对 Java SE 和不同 Oracle 产品中多个漏洞的安全修补程式。

在多个受影响的 Java 子部件中，包括 Java DB、Deployment、JavaFX、Windows DLL、Security、JSSE、Libraries 及 Concurrency，发现了 8 个漏洞。这些漏洞都可被未获授权的攻击者从远端攻击。

对于在其他 Oracle 产品中发现的漏洞，攻击者可透过实体访问或通过多种规约，包括HTTP、HTTPS、TLS、SSH、T3、Jolt、Local Logon、SSL、Log4j、memcached、RPC、ISCSI、IPMI、DHCP 及 MySQL 经网络从远端攻击。

攻击者可通过多种方式攻击受影响的系统。对于 Java，攻击者可诱使用户开启载有不可靠 Java applet 的特制网页、开启含恶意内容的 Java Web Start 应用程式或，或者通过Web服务提交特制数据到指定部件中的API。对于其他 Oracle 产品，远端攻击者可传送特制的网络封包到受影响系统攻击这些漏洞。

有报告指攻击漏洞CVE-2018-2893的概念验证程式码已被公开，含有漏洞的Oracle WebLogic Server受到网络攻击的风险将会提升。有关修补程式的详细资料，请参阅相应安全公告
http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html#AppendixFMW

受影响的系统:

Oracle Java SE
Database
Oracle Linux and Virtualization
Oracle MySQL Product Suite
Oracle and Sun Systems Products Suite
Fusion Applications and Middleware
Oracle Support Tools

有关受影响产品的完整列表，请参阅以下连结:

http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

影响:

成功攻击这些漏洞可导致拒绝服务、篡改数据、泄漏资讯或控制受影响的系统，视乎攻击者利用哪个漏洞而定。

建议:

现已有适用于受影响系统的修补程式。受影响系统的用户应遵从产品供应商的建议，立即采取行动以降低风险。

Oracle Java SE 产品的修补程式可从以下连结下载:

Java Platform SE 8u181 (JDK 及 JRE),
Java Platform SE 10.0.2 (JDK 及 JRE)
http://www.oracle.com/technetwork/java/javase/downloads/index.html

关于其他 Oracle 产品，请参阅供应商网站相关安全公告中 “Patch Availability Table and Risk Matrices＂的部分:

http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

用户可联络其产品支援供应商，以取得修补程式及有关支援。

进一步信息:

https://isc.sans.edu/forums/diary/Weblogic+Exploit+Code+Made+Public+CVE20182893/23896/
http://blog.netlab.360.com/malicious-campaign-luoxk-is-actively-exploiting-cve-2018-2893/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2893
http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html
http://www.oracle.com/technetwork/java/javase/10-0-2-relnotes-4477557.html
http://www.oracle.com/technetwork/java/javase/8u181-relnotes-4479407.html
https://www.hkcert.org/my_url/zh/alert/18071801
https://www.us-cert.gov/ncas/current-activity/2018/07/17/Oracle-Releases-July-2018-Security-Bulletin
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4461
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0114
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0230
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2532
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3577
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7810
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8157
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9029
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9746
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0204
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3414 (to CVE-2015-3416)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5174
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5262
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5345
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5346
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5351
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5600
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6420
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7501
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7940
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0706
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0714
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0718
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1181
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1182
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2099
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2105 (to CVE-2016-2107)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2109
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2176
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3092
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3506
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4055
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4463
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5019
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5195
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5300
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6814
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-7103
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8735
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9841
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9843
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9878
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0379
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0785
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3633 (to CVE-2017-3636)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3641
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3647 (to CVE-2017-3649)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3651 (to CVE-2017-3653)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3732
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3735 (to CVE-2017-3738)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5529
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5533
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5645
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5662
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5664
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5715
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5753
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5754
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-6074
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7525
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9526
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9798
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10989
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12617
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-13088
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-13218
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15095
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15707
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0733
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0739
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1171
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1258
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1270 (to CVE-2018-1272)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1275
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1304
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1305
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1327
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2598
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2767
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2881
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2882
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2888
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2891 (to CVE-2018-2901)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2903 (to CVE-2018-2908)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2915 (to CVE-2018-2921)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2923 (to CVE-2018-2930)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2932 (to CVE-2018-2970)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2972 (to CVE-2018-2982)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2984 (to CVE-2018-3010)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3012 (to CVE-2018-3058)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3060 (to CVE-2018-3082)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3084 (to CVE-2018-3105)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3108
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3109
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3639
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3640
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7489
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8013
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000120 (to CVE-2018-1000122)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000300
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000301

标签 : Oracle , Java , Oracle Database , Oracle Linux , MySQL , Sun Systems , Fusion , OSS Support Tools , WebLogic