1. 主页
  2. 保安警报
  3. 保安警报 (A20-04-04)

高危保安警报 (A20-04-04): Oracle Java 及 Oracle 产品多个漏洞 (2020年4月)


 

发布日期: 2020年 4月 15日

最後更新: 2020年 5月 4日

  
  

描述:

Oracle 发布了重要修补程式更新公告,包括一系列应对 Java SE 和不同 Oracle 产品中多个漏洞的安全修补程式。

在多个受影响的 Java 子部件中,包括 Advanced Management Console 、 Concurrency 、 JSSE 、 JavaFX 、 Libraries 、 Lightweight HTTP Server 、 Scripting 、 Security 及 Serialization,发现了15个漏洞。

对于在其他 Oracle 产品中发现的漏洞,攻击者可透过实体访问或通过多种规约,包括 HTTP 、 HTTPS 、 MySQL Protocol 、 MySQL Workbench 、 Memcached Protocol 、 MLD 、 OracleNet 或 T3。

攻击者可通过多种方式攻击受影响的系统。对于 Java,攻击者可诱使用户开启载有不可靠 Java applet 的特制网页、开启含恶意内容的 Java Web Start 应用程式,或通过 Web service提交特制数据到指定部件中的 API。对于其他 Oracle 产品,通过认证的本机攻击者可以登入受影响系统的基础建设攻击这些漏洞。远端攻击者可传送特制的网络封包到受影响系统攻击这些漏洞。

供应商收到针对近期所修补的漏洞的报告,这些漏洞包括Oracle WebLogic Server中的远端执行程式码漏洞(CVE-2020-2883)。报告亦指概念验证漏洞程式码已被公开。用户应立即为受影响的系统安装4月的重要修补程式更新(Critical Patch Update),以免增加受到网络攻击的风险。对于寄存在外判平台的系统,系统拥有者应与网站寄存服务商确认已安装相关的修补程式。

 

受影响的系统:

  • Oracle Java SE
  • Database
  • Oracle Linux and Virtualization
  • Oracle MySQL Product Suite
  • Oracle and Sun Systems Products Suite
  • Fusion Applications and Middleware

有关受影响产品的完整列表,请参阅以下连结:
https://www.oracle.com/security-alerts/cpuapr2020.html

 

影响:

成功攻击这些漏洞可导致拒绝服务、篡改数据、泄漏资讯或控制受影响的系统,视乎攻击者利用哪个漏洞而定。

 

建议:

现已有适用于受影响系统的修补程式。受影响系统的用户应遵从产品供应商的建议,立即采取行动以降低风险。

Oracle Java SE 产品的修补程式可从以下连结下载:

  • Java Platform SE 8u251 (JDK and JRE)
  • Java Platform SE 11.0.7 (JDK and JRE)
  • Java Platform SE 14.0.1 (JDK and JRE)
    https://www.oracle.com/technetwork/java/javase/downloads/index.html

关于其他 Oracle 产品更新的信息,请参阅以下安全公告:
https://www.oracle.com/security-alerts/cpuapr2020.html
用户可联络其产品支援供应商,以取得修补程式及有关支援。

 

进一步信息:

https://blogs.oracle.com/security/apply-april-2020-cpu
https://www.us-cert.gov/ncas/current-activity/2020/05/01/unpatched-oracle-weblogic-servers-vulnerable-cve-2020-2883
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/technetwork/java/javase/documentation/8u-relnotes-2225394.html
https://www.oracle.com/technetwork/java/javase/11u-relnotes-5093844.html
https://www.oracle.com/technetwork/java/javase/14u-relnotes-6361871.html
https://www.hkcert.org/my_url/zh/alert/20041503
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0254
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1832
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3253
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7940
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-9251
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3092
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4000
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-7103
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-10251
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-10328
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1000031
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3160
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5130
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5533
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5645
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12626
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14735
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1165
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1258
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5712
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8039
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-10237
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11058
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11797
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-15756
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-17197
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-18311
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-20622
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-20843
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-20852
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000180
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000632
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0211
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0222
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0227
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1543
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1547
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2729
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2853
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2880
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2899
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2904
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5482
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10072
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10082
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10086
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10088
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10173
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10247
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11358
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12402
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12415
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12419
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-13990
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-14379
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-14821
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-14889
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15163
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15601
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15606
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15903
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-16168
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-16943
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17091
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17195
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17359
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17563
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17571
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-18197
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19646
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-20330
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1010238
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2514
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2522
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2524
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2553
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2594
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2706
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2733 (to CVE-2020-2735)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2737 (to CVE-2020-2791)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2793 (to CVE-2020-2915)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2920 (to CVE-2020-2947)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2949 (to CVE-2020-2956)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2958
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2959
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2961
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2963
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2964
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5398

 



标签 : Oracle , Java , Oracle Database , Oracle Linux , MySQL , Sun Systems , Fusion
标签