Java SE 7 可供公眾下載的最後更新版本已於 2015 年 4 月發布。用戶須考慮更新至最新的 Java SE 版本或聯絡其產品支援供應商,以延長支援。
http://www.oracle.com/technetwork/java/javase/overview/index.html
發布日期: 2015年 10月 22日
Oracle 發布了重要修補程式更新公告,包括一系列應對 Java SE 和不同 Oracle 產品中多個漏洞的安全修補程式。
在多個受影響的 Java 子部件中,包括 2D 、CORBA 、Deployment 、JavaFX 、JAXP 、JGSS 、Libraries 、RMI 、Security 和 Serialization,發現了 25 個漏洞。當中24個漏洞可被未獲授權的攻擊者從遠端攻擊,其中 5 個漏洞更可影響 Java 的服務端部件(例如通過網絡服務)。
對於在 Oracle 產品中發現的這些漏洞,攻擊者可通過多種規約,包括 HTTP 、HTTPS 、LDAP 、Memcached 、MySQL Protocol 、Oracle Net 、SQLNet 及 SSL/TLS 經網絡從遠端攻擊。
攻擊者可通過多種方式攻擊受影響的系統。對於 Java , 攻擊者可誘使用戶開啓載有不可靠 Java applet 或含惡意內容的 Java Web Start 應用程式的特製網頁,或以 Java launcher 起動執行檔。對於其他 Oracle 產品,遠端攻擊者可傳送特製的網絡封包到受影響系統攻擊這些漏洞。
關於受影響產品的詳細資料,請參閱供應商網站相關安全公告中 “Affected Products and Components” 的部分:
http://www.oracle.com/technetwork/topics/security/cpuoct2015-2367953.html
成功攻擊這些漏洞可導致執行程式碼、服務受阻斷、提升權限、取得敏感資料、繞過保安限制或控制受影響系統,視乎攻擊者利用哪個漏洞而定。
現已有適用於受影響系統的修補程式。受影響系統的用戶應遵從產品供應商的建議,立即採取行動以降低風險。
Oracle Java SE 產品的修補程式可從以下連結下載:
關於其他 Oracle 產品,請參閱供應商網站相關安全公告中 “Patch Availability Table and Risk Matrices" 的部分:
http://www.oracle.com/technetwork/topics/security/cpuoct2015-2367953.html
用戶可聯絡其產品支援供應商,以取得修補程式及有關支援。
http://www.oracle.com/technetwork/topics/security/cpuoct2015-2367953.html
http://www.oracle.com/technetwork/java/javase/8u66-relnotes-2692847.html
https://www.us-cert.gov/ncas/current-activity/2015/10/20/Oracle-Releases-Security-Bulletin
https://www.hkcert.org/my_url/zh/alert/15102201
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-1999-0377
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1622
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0050
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0191
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1569
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3571
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3576
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7940
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0235
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0286
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1791
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1793
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1829
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2608
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2633
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2642
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3144
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4000
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4730
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4734
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4762
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4766
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4791 (至 CVE-2015-4807)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4809 (至 CVE-2015-4813)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4815 (至 CVE-2015-4828)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4830 (至 CVE-2015-4851)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4854
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4856 (至 CVE-2015-4884)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4886 (至 CVE-2015-4888)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4890 (至 CVE-2015-4896)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4898 (至 CVE-2015-4917)