Oracle 發布了重要修補程式更新公告,包括一系列應對 Java SE 和不同 Oracle 產品中多個漏洞的安全修補程式。一些產品的修補程式亦應對名為「Meltdown」和「Spectre」的保安問題,詳情請參閱「建議」部分。
在多個受影響的 Java 子部件中,包括 AWT, Hotspot, I18n, Installer, JavaFX, JCE, JGSS, JMX, JNDI, LDAP, Libraries, Serialization 和 Server,發現了 21 個漏洞。當中 18 個可被未獲授權的攻擊者從遠端攻擊及其他漏洞影響 Java 的服務端部件。
對於在 Oracle 產品中發現的漏洞,攻擊者可透過實體訪問或通過多種規約,包括 HTTP, HTTPS, ICMP, TLS, MySQL Protocol, TCP/UDP 及 Oracle Net 經網絡從遠端攻擊。
攻擊者可通過多種方式攻擊受影響的系統。對於 Java,攻擊者可誘使用戶開啓載有不可靠 Java applet 或含惡意內容的 Java Web Start 應用程式的特製網頁,或以 Java launcher 起動執行檔。對於其他 Oracle 產品,遠端攻擊者可傳送特製的網絡封包到受影響系統攻擊這些漏洞。
有關受影響產品的完整列表,請參閱以下連結:
http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html
成功攻擊這些漏洞可導致拒絕服務、篡改數據、泄漏資訊或控制受影響的系統。
一些 Oracle 產品已發布修補程式以應對名為「Meltdown」和「Spectre」的保安問題。這些產品包括 Oracle Linux, Oracle VM, Oracle VM VirtualBox 及 Oracle X86 伺服器。系統管理員應參考附錄中的最新更新。
https://support.oracle.com/rs?type=doc&id=2347948.1
現已有適用於受影響系統的修補程式。受影響系統的用戶應遵從產品供應商的建議,立即採取行動以降低風險。
Oracle Java SE 產品的修補程式可從以下連結下載:
關於其他 Oracle 產品,請參閱供應商網站相關安全公告中 「Patch Availability Table and Risk Matrices」 的部分:
用戶可聯絡其產品支援供應商,以取得修補程式及有關支援。
http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html
http://www.oracle.com/technetwork/java/javase/documentation/9u-relnotes-3704429.html
http://www.oracle.com/technetwork/java/javase/documentation/8u-relnotes-2225394.html
https://www.hkcert.org/my_url/zh/alert/18011702
https://www.us-cert.gov/ncas/current-activity/2018/01/16/Oracle-Releases-January-2018-Security-Bulletin
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2566
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3253
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7501
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7940
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0635
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0704
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1182
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2107
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2179
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5385
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9878
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0781
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3732
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3736
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3737
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5461
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5645
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5664
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5715
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9072
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9798
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10068
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10262
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10273
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10282
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10301
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10352
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12617
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-13077
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2560 (to CVE-2018-2562)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2564 (to CVE-2018-2571)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2573 (to CVE-2018-2586)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2588 (to CVE-2018-2597)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2599 (to CVE-2018-2627)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2629 (to CVE-2018-2717)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2719 (to CVE-2018-2733)