Oracle 發布了重要修補程式更新公告,包括一系列應對 Java SE 和不同 Oracle 產品中多個漏洞的安全修補程式。
在多個受影響的 Java 子部件中,包括 2D 、AWT、JAXP、JMX, Libraries、Networking和Security,發現了 8 個漏洞。當中7個漏洞可被未獲授權的攻擊者從遠端攻擊,其中 4 個漏洞更可影響 Java 的服務端部件(例如通過網絡服務)。
對於在 Oracle 產品中發現的這些漏洞,攻擊者可通過多種規約,包括 HTTP、HTTPS、JMS、MySQL Protocol、NFS、Oracle GoldenGate、Oracle Net、RPC、SMB、SSL/TLS、T3及 WebSocket經網絡從遠端攻擊。
攻擊者可通過多種方式攻擊受影響的系統。對於 Java,攻擊者可誘使用戶開啓載有不可靠 Java applet 或含惡意內容的 Java Web Start 應用程式的特製網頁,或以 Java launcher 起動執行檔。對於其他 Oracle 產品,遠端攻擊者可傳送特製的網絡封包到受影響系統攻擊這些漏洞。
關於受影響產品的詳細資料,請參閱供應商網站相關安全公告中 “Affected Products and Components” 的部分:
http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html
成功攻擊這些漏洞可導致執行程式碼、服務受阻斷、提升權限、取得敏感資料、繞過保安限制或控制受影響系統,視乎攻擊者利用哪個漏洞而定。
現已有適用於受影響系統的修補程式。受影響系統的用戶應遵從產品供應商的建議,立即採取行動以降低風險。
Oracle Java SE 產品的修補程式可從以下連結下載:
關於其他 Oracle 產品,請參閱供應商網站相關安全公告中 “Patch Availability Table and Risk Matrices"的部分:
http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html
用戶可聯絡其產品支援供應商,以取得修補程式及有關支援。
http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html
http://www.oracle.com/technetwork/java/javase/8u71-relnotes-2773756.html
https://www.us-cert.gov/ncas/current-activity/2016/01/19/Oracle-Releases-Security-Bulletin
https://www.hkcert.org/my_url/zh/alert/16012001
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-1741
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2186
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0050
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0107
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3583
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0235
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0286
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1793
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3153
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3183
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3195
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4000
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4808
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4885
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4919
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4920 (至CVE-2015-4926)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5307
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6013 (至CVE-2015-6015)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7183
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7575
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7744
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8104
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8126
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8370
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0401 (至CVE-2016-0406)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0409
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0411 (至CVE-2016-0602)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0605 (至CVE-2016-0611)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0614
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0616
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0618