政府電腦保安事故協調中心 - 保安警報(A15-04-07): Oracle Java 及 Oracle 產品多個漏洞

描述：

Oracle 發布了重要修補程式更新公告，包括一系列應對 Java SE 和不同 Oracle 產品中多個漏洞的安全修補程式。

在多個受影響的 Java 子部件中，包括 2D 、 Deployment 、 Hotspot 、 Install 、 JAX-WS 、JSSE 、 Libraries 、 RMI 、 Security 、 Serviceability 和 Swing ，發現了 14 個漏洞。這些漏洞均可被未獲授權的攻擊者從遠端攻擊，其中 3 個漏洞可以影響 Java 的服務端部件(例如通過網絡服務)。

對於在 Oracle 產品中發現的這些漏洞，攻擊者可通過多種規約，包括 HTTP 、HTTPS 、 LDAP 、 MySQL Protocol 、 Oracle Net 、 SQLNET 、 SSL/TLS 及 UDP 經網絡從遠端攻擊。

攻擊者可通過多種方式攻擊受影響的系統。對於 Java ，攻擊者可誘使用戶開啓載有不可靠 Java applet 或含惡意內容的 Java Web Start 應用程式的特製網頁，或以 Java launcher 起動執行檔。對於其他 Oracle 產品，遠端攻擊者可傳送特製的網絡封包到受影響系統攻擊這些漏洞。

受影響的系統：

E-Business Suite
Enterprise Manager
Fusion Applications and Middleware
Health Sciences Applications
JD Edwards Product Suite
Oracle and Sun Systems Products Suite
Oracle Commerce Applications
Oracle Database
Oracle Java SE
Oracle MySQL Product Suite
Oracle Right Now Service Cloud
Oracle Supply Chain Products Suite
Oracle Support Tool
PeopleSoft Enterprise
Retail Applications
Siebel

關於受影響產品的詳細資料，請參閱供應商網站相關安全公告中 “Affected Products and Components” 的部分：

http://www.oracle.com/technetwork/topics/security/cpuapr2015-2365600.html

影響：

成功攻擊這些漏洞可導致執行程式碼、提升權限、服務受阻斷、取得敏感資料、繞過保安限制或控制受影響系統，視乎攻擊者利用哪個漏洞而定。

建議：

現已有適用於受影響系統的修補程式。受影響系統的用戶應遵從產品供應商的建議，立即採取行動以降低風險。

Oracle Java SE 產品的修補程式可從以下連結下載：

Java Platform SE7 (JDK 及 JRE 7 Update 80)
http://www.oracle.com/technetwork/java/javase/downloads/index.html

Oracle 已宣布 2015 年 4 月發布的這個重要修補程式更新，是可供公眾下載的 Oracle JDK 7 最後更新版本。用戶須考慮更新至最新的 Java SE 版本或聯絡其產品支援供應商，以延長支援。

http://www.oracle.com/technetwork/java/javase/overview/index.html

關於其他 Oracle 產品，請參閱供應商網站相關安全公告中 “Patch Availability Table and Risk Matrices＂的部分：

http://www.oracle.com/technetwork/topics/security/cpuapr2015-2365600.html

用戶可聯絡其產品支援供應商，以取得修補程式及有關支援。

進一步資訊：

http://www.oracle.com/technetwork/topics/security/cpuapr2015-2365600.html
http://www.oracle.com/technetwork/java/javase/7u80-relnotes-2494162.html
https://www.hkcert.org/my_url/en/alert/15041513
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4286
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4545
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0050
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0112
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1568
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3569
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3571
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7809
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0204
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0235
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0405
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0423
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0433
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0438 (to CVE-2015-0441)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0447 (to CVE-2015-0453)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0455 (to CVE-2015-0466)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0469 (to CVE-2015-0480)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0482 (to CVE-2015-0511)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2565 (to CVE-2015-2568)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2570 (to CVE-2015-2579)

標籤 : Oracle , Java , Oracle Database , Fusion , Enterprise Manager , Oracle E-Business , Oracle Supply Chain , PeopleSoft , JD Edwards , Siebel , Oracle Commerce , Oracle Retail , Oracle Health Sciences , Sun Systems , MySQL , Oracle Right Now , Oracle Support Tool