Oracle 发布了重要修补程式更新公告,包括一系列应对 Java SE 和不同 Oracle 产品中多个漏洞的安全修补程式。
在多个受影响的 Java 子部件中,包括2JavaFX、JSSE、Libraries、Networking、Security 及 Serialization,发现了12个漏洞。所有漏洞均可被未获授权的攻击者从远端攻击。
对于在其他 Oracle 产品中发现的漏洞,攻击者可透过实体访问或通过多种规约,包括HTTP、HTTPS、IIOP、Kerberos、Local Logon、MySQL Protocol、MySQL Workbench、OracleNet、SMB、SSH、T3、TCP、TCPS、TLS 或 XMPP 经网络从远端攻击。
攻击者可通过多种方式攻击受影响的系统。对于 Java,攻击者可诱使用户开启载有不可靠 Java applet 的特制网页、开启含恶意内容的 Java Web Start 应用程式,或者通过 Web service提交特制数据到指定部件中的 API。对于其他 Oracle 产品,远端攻击者可传送特制的网络封包到受影响系统攻击这些漏洞。
有关受影响产品的完整列表,请参阅以下连结:
https://www.oracle.com/security-alerts/cpujan2020.html
成功攻击这些漏洞可导致拒绝服务、篡改数据、泄漏资讯或控制受影响的系统,视乎攻击者利用哪个漏洞而定。
现已有适用于受影响系统的修补程式。受影响系统的用户应遵从产品供应商的建议,立即采取行动以降低风险。
Oracle Java SE 产品的修补程式可从以下连结下载:
https://www.oracle.com/technetwork/java/javase/downloads/index.html
关于其他 Oracle 产品更新的信息,请参阅以下安全公告:
https://www.oracle.com/security-alerts/cpujan2020.html
用户可联络其产品支援供应商,以取得修补程式及有关支援。
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/technetwork/java/javase/11u-relnotes-5093844.html
https://www.oracle.com/technetwork/java/javase/13u-relnotes-5461742.html
https://www.oracle.com/technetwork/java/javase/documentation/8u-relnotes-2225394.html
https://www.hkcert.org/my_url/zh/alert/20011503
https://www.us-cert.gov/ncas/current-activity/2020/01/14/oracle-releases-january-2020-security-bulletin
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1695
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3004
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1181
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4000
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5019
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6814
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1000031
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5645
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12626
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14735
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15708
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-1000376
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0734
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1258
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6829
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8039
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11058
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-15756
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-16395
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0227
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0232
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1547
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1559
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2725
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2729
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2904
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3862
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5482
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8457
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9579
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9636
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10072
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10088
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10092
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10247
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11358
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11477
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12086
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12415
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12419
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12814
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-13117
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-13118
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-14379
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-14540
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15845
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-16168
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-16776
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-16943
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17091
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17359
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2510 (to CVE-2020-2512)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2515 (to CVE-2020-2519)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2527
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2530
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2531
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2533 (to CVE-2020-2552)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2555 (to CVE-2020-2561)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2563 (to CVE-2020-2574)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2576 (to CVE-2020-2593)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2595 (to CVE-2020-2705)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2707
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2709 (to CVE-2020-2731)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6950