Oracle 发布了重要修补程序更新公告,包括一系列应对 Java SE 和不同 Oracle 产品中多个漏洞的安全修补程序。
在多个受影响的 Java 子部件中,包括2D、Hotspot、Serialization、JMX、Deployment、Security、JAXP 和JCE,发现了 9 个漏洞。这些漏洞可被未获授权的攻击者从远程攻击,其中 3 个漏洞更可影响 Java 的服务端部件(例如通过网络服务)。
对于在 Oracle 产品中发现的漏洞,攻击者可通过多种规约,包括 ECI (Proprietary EDM Protocol)、HTTP、HTTPS、IPMI、JMS、Kerberos、MySQL、OpenSSH、Oracle Net 及 RPC经网络从远程攻击。
攻击者可通过多种方式攻击受影响的系统。对于 Java,攻击者可诱使用户开启载有不可靠 Java applet 或含恶意内容的 Java Web Start 应用程序的特制网页,或以 Java launcher 起动执行档。对于其他 Oracle 产品,远程攻击者可传送特制的网络封包到受影响系统攻击这些漏洞
关于受影响产品的详细数据,请参阅供货商网站相关安全公告中 “Affected Products and Components” 的部分:
http://www.oracle.com/technetwork/security-advisory/cpuapr2016v3-2985753.html
成功攻击这些漏洞可导致执行程序代码、服务受阻断、提升权限、取得敏感数据、绕过保安限制或控制受影响系统,视乎攻击者利用哪个漏洞而定。
现已有适用于受影响系统的修补程序。受影响系统的用户应遵从产品供货商的建议,立即采取行动以降低风险。
Oracle Java SE 产品的修补程序可从以下链接下载:
关于其他 Oracle 产品,请参阅供货商网站相关安全公告中 “Patch Availability Table and Risk Matrices"的部分:
http://www.oracle.com/technetwork/security-advisory/cpuapr2016v3-2985753.html
用户可联络其产品支持供货商,以取得修补程序及有关支持
http://www.oracle.com/technetwork/security-advisory/cpuapr2016v3-2985753.html
http://www.oracle.com/technetwork/java/javase/8u91-relnotes-2949462.html
http://www.oracle.com/technetwork/java/javase/8u92-relnotes-2949471.html
https://www.hkcert.org/my_url/en/alert/16042001
https://www.us-cert.gov/ncas/current-activity/2016/04/19/Oracle-Releases-Security-Bulletin
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4461
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2566
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4786
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2532
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3576
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1789
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1793
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3194 (to CVE-2015-3195)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3197
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3238
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3253
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4000
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7182
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7236
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7501
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7547
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0407 (to CVE-2016-0408)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0468 (to CVE-2016-0469)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0479
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0623
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0638 (to CVE-2016-0644)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0646 (to CVE-2016-0659)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0661 (to CVE-2016-0663)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0665 (to CVE-2016-0669)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0671 (to CVE-2016-0700)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0705
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2047
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3416 (to CVE-2016-3423)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3425 (to CVE-2016-3429)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3431
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3434 (to CVE-2016-3439)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3441 (to CVE-2016-3443)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3447
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3449
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3454 (to CVE-2016-3457)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3460 (to CVE-2016-3466)