Java SE 7 可供公眾下載的最後更新版本已於 2015 年 4 月發布。用戶須考慮更新至最新的 Java SE 版本或聯絡其產品支援供應商,以延長支援。
> http://www.oracle.com/technetwork/java/javase/overview/index.html
Oracle 發布了重要修補程式更新公告,包括一系列應對 Java SE 和不同 Oracle 產品中多個漏洞的安全修補程式。
在多個受影響的 Java 子部件中,包括 2D 、 CORBA 、 Deployment 、 Hotspot 、 Install 、 JCE 、JMX 、JNDI 、JSSE 、 Libraries 、 RMI和 Security,發現了 25 個漏洞。當中23個漏洞可被未獲授權的攻擊者從遠端攻擊,其中 8 個漏洞更可影響 Java 的服務端部件(例如通過網絡服務)。
對於在 Oracle 產品中發現的這些漏洞,攻擊者可通過多種規約,包括 HTTP 、HTTPS 、Kerberos 、 MySQL Protocol 、 Oracle Net 、 SQLNET 、 SSL/TLS 及 X11 經網絡從遠端攻擊。
攻擊者可通過多種方式攻擊受影響的系統。對於 Java , 攻擊者可誘使用戶開啓載有不可靠 Java applet 或含惡意內容的 Java Web Start 應用程式的特製網頁,或以 Java launcher 起動執行檔。對於其他 Oracle 產品,遠端攻擊者可傳送特製的網絡封包到受影響系統攻擊這些漏洞。
關於受影響產品的詳細資料,請參閱供應商網站相關安全公告中 “Affected Products and Components” 的部分:
http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html
成功攻擊這些漏洞可導致執行程式碼、服務受阻斷、提升權限、取得敏感資料、繞過保安限制或控制受影響系統,視乎攻擊者利用哪個漏洞而定。
現已有適用於受影響系統的修補程式。受影響系統的用戶應遵從產品供應商的建議,立即採取行動以降低風險。
Oracle Java SE 產品的修補程式可從以下連結下載:
關於其他 Oracle 產品,請參閱供應商網站相關安全公告中 “Patch Availability Table and Risk Matrices" 的部分:
http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html
用戶可聯絡其產品支援供應商,以取得修補程式及有關支援。
http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html
http://www.oracle.com/technetwork/java/javase/8u51-relnotes-2587590.html
https://www.hkcert.org/my_url/en/alert/15071519
https://www.us-cert.gov/ncas/current-activity/2015/07/14/Oracle-Releases-July-2015-Security-Advisory
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1324
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0036
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2186
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2251
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5704
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0227
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0230
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1568 (至 CVE-2014-1569)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566 (至 CVE-2014-3567)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3570 (至 CVE-2014-3571)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7809
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8102
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0235
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0255
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0286
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0443 (至 CVE-2015-0446)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0467 (至 CVE-2015-0468)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1803
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1926
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2580 (至 CVE-2015-2607)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2609 (至 CVE-2015-2632)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2634 (至 CVE-2015-2641)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2643 (至 CVE-2015-2664)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2808
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3456
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4000
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4727 (至 CVE-2015-4729)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4731 (至 CVE-2015-4733)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4735 (至 CVE-2015-4761)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4763 (至 CVE-2015-4765)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4767 (至 CVE-2015-4790)