1. 主頁
  2. 保安警報
  3. 保安警報 (A17-10-06)

保安警報(A17-10-06): Oracle Java 及 Oracle 產品多個漏洞 (2017年10月)


 

發布日期: 2017年 10月 18日

  
  

描述:

Oracle 發布了重要修補程式更新公告,包括一系列應對 Java SE 和不同 Oracle 產品中多個漏洞的安全修補程式。

在多個受影響的 Java 子部件中,包括 2D, Deployment, Hotspot, Javadoc, JAXP, JAX-WS, Libraries, Networking, RMI, Security, Serialization, Server, Smart Card IO 和 Util(zlib),發現了 22 個漏洞。當中20個漏洞可被未獲授權的攻擊者從遠端攻擊及4個漏洞影響Java的服務端部件。

對於在 Oracle 產品中發現的漏洞,攻擊者可透過實體訪問或通過多種規約,包括 HTTP, HTTPS, Kerberos, MySQL Protocol, NTP 及 Oracle Net 經網絡從遠端攻擊。

攻擊者可通過多種方式攻擊受影響的系統。對於 Java,攻擊者可誘使用戶開啓載有不可靠 Java applet 或含惡意內容的 Java Web Start 應用程式的特製網頁,或以 Java launcher 起動執行檔。對於其他 Oracle 產品,遠端攻擊者可傳送特製的網絡封包到受影響系統攻擊這些漏洞。

 

受影響的系統:

  • Oracle Java SE
  • Database
  • Oracle Linux and Virtualization
  • Oracle MySQL Product Suite
  • Oracle and Sun Systems Products Suite
  • Fusion Applications 及 Middleware

有關受影響產品的完整列表,請參閱以下連結:

http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html

 

影響:

成功攻擊這些漏洞可導致拒絕服務、篡改數據、泄漏資訊或控制受影響的系統,視乎攻擊者利用哪個漏洞而定。

 

建議:

現已有適用於受影響系統的修補程式。受影響系統的用戶應遵從產品供應商的建議,立即採取行動以降低風險。

Oracle Java SE 產品的修補程式可從以下連結下載:

  • Java Platform SE 8 (JDK and JRE 8 Update 152)
    http://www.oracle.com/technetwork/java/javase/downloads/index.html

關於其他 Oracle 產品,請參閱供應商網站相關安全公告中 「Patch Availability Table and Risk Matrices」 的部分:

http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html

用戶可聯絡其產品支援供應商,以取得修補程式及有關支援。

 

進一步資訊:

http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
http://www.oracle.com/technetwork/java/javase/documentation/8u-relnotes-2225394.html
https://www.hkcert.org/my_url/zh/alert/17101801
https://www.us-cert.gov/ncas/current-activity/2017/10/17/Oracle-Releases-Security-Bulletin
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2808
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5254
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7501
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7940
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0635
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0714
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1181
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2183
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2834
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3092
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6304
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6814
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-7431
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8735
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9841
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-10165
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3167
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3588
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3731
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3733
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5662
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5664
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10026
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10033
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10034
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10037
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10051
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10055
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10060
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10099
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10152
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10154
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10155
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10163
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10165
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10166
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10167
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10190
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10194
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10203
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10227
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10259
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10260
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10261
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10265
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10268
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10270
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10271
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10274 (to CVE-2017-10277)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10279
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10281
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10283 (to CVE-2017-10286)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10292 (to CVE-2017-10296)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10309
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10311
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10313
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10314
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10320
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10321
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10334
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10336
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10341
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10342
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10345 (to CVE-2017-10350)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10352
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10355
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10356
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10357
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10360
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10365
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10369
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10378 (to CVE-2017-10380)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10384 (to CVE-2017-10386)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10388
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10391 (to CVE-2017-10393)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10400
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10407
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10408
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10424
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10428

 



標籤 : Fusion , Java , MySQL , Oracle , Oracle Database , Oracle Linux , Sun Systems
標籤