Oracle 发布了重要修补程式更新公告,包括一系列应对 Java SE 和不同 Oracle 产品中多个漏洞的安全修补程式。
在多个受影响的 Java 子部件中,包括 AWT(libpng)、JCE、JSSE、Networking、Security 及 Utilities,发现了10个漏洞。当中9个漏洞均可被未获授权的攻击者从远端攻击。
对于在其他 Oracle 产品中发现的漏洞,攻击者可透过实体访问或通过多种规约,包括HTTP、HTTPS、ICMPv6、IPv6、JDENET、Local Logon、MySQL Protocol、OracleNet、NFS、T3 或 TLS经网络从远端攻击。
攻击者可通过多种方式攻击受影响的系统。对于 Java,攻击者可诱使用户开启载有不可靠 Java applet 的特制网页、开启含恶意内容的 Java Web Start 应用程式,或者通过 Web 服务提交特制数据到指定部件中的 API。对于其他 Oracle 产品,远端攻击者可传送特制的网络封包到受影响系统攻击这些漏洞。
有关受影响产品的完整列表,请参阅以下连结:
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html
成功攻击这些漏洞可导致拒绝服务、篡改数据、泄漏资讯或控制受影响的系统,视乎攻击者利用哪个漏洞而定。
现已有适用于受影响系统的修补程式。受影响系统的用户应遵从产品供应商的建议,立即采取行动以降低风险。
Oracle Java SE 产品的修补程式可从以下连结下载:
关于其他 Oracle 产品,请参阅供应商网站相关安全公告中 “Patch Availability Table and Risk Matrices"的部分
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html
用户可联络其产品支援供应商,以取得修补程式及有关支援。
https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html
https://www.oracle.com/technetwork/java/javase/12u-relnotes-5211424.html
https://www.oracle.com/technetwork/java/javase/11u-relnotes-5093844.html
https://www.oracle.com/technetwork/java/javase/8u-relnotes-2225394.html
https://www.us-cert.gov/ncas/current-activity/2019/07/16/oracle-releases-july-2019-security-bulletin
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-9251
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6814
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-7103
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9572
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1000031
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5645
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0734
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8013
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11058
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12022
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-15756
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000180
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000873
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0211
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0222
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1543
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1559
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2484
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2569
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2725
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2729 (to CVE-2019-2731)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2737 (to CVE-2019-2743)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2745 (to CVE-2019-2747)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2749
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2751 (to CVE-2019-2753)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2755 (to CVE-2019-2760)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2762
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2764
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2766 (to CVE-2019-2769)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2771
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2774
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2776
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2778
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2780
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2784 (to CVE-2019-2792)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2795 (to CVE-2019-2805)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2807
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2808
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2810 (to CVE-2019-2812)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2814 (to CVE-2019-2816)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2818 (to CVE-2019-2822)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2824
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2826
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2827
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2830
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2832
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2834
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2835
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2838
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2842
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2844
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2848
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2850
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2852 (to CVE-2019-2856)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2858 (to CVE-2019-2860)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2863 (to CVE-2019-2871)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2873 (to CVE-2019-2879)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3822
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5597
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5598
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-7317
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11358