政府電腦保安事故協調中心 - 高危保安警報 (A18-07-06): Oracle Java 及 Oracle 產品多個漏洞 (2018年7月)

描述:

Oracle 發布了重要修補程式更新公告，包括一系列應對 Java SE 和不同 Oracle 產品中多個漏洞的安全修補程式。

在多個受影響的 Java 子部件中，包括 Java DB、Deployment、JavaFX、Windows DLL、Security、JSSE、Libraries 及 Concurrency，發現了 8 個漏洞。這些漏洞都可被未獲授權的攻擊者從遠端攻擊。

對於在其他 Oracle 產品中發現的漏洞，攻擊者可透過實體訪問或通過多種規約，包括HTTP、HTTPS、TLS、SSH、T3、Jolt、Local Logon、SSL、Log4j、memcached、RPC、ISCSI、IPMI、DHCP 及 MySQL 經網絡從遠端攻擊。

攻擊者可通過多種方式攻擊受影響的系統。對於 Java，攻擊者可誘使用戶開啓載有不可靠 Java applet 的特製網頁、開啓含惡意內容的 Java Web Start 應用程式或，或者通過Web服務提交特製數據到指定部件中的API。對於其他 Oracle 產品，遠端攻擊者可傳送特製的網絡封包到受影響系統攻擊這些漏洞。

有報告指攻擊漏洞CVE-2018-2893的概念驗證程式碼已被公開，含有漏洞的Oracle WebLogic Server受到網絡攻擊的風險將會提升。有關修補程式的詳細資料，請參閱相應安全公告
http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html#AppendixFMW

受影響的系統:

Oracle Java SE
Database
Oracle Linux and Virtualization
Oracle MySQL Product Suite
Oracle and Sun Systems Products Suite
Fusion Applications and Middleware
Oracle Support Tools

有關受影響產品的完整列表，請參閱以下連結:

http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

影響:

成功攻擊這些漏洞可導致拒絕服務、篡改數據、泄漏資訊或控制受影響的系統，視乎攻擊者利用哪個漏洞而定。

建議:

現已有適用於受影響系統的修補程式。受影響系統的用戶應遵從產品供應商的建議，立即採取行動以降低風險。

Oracle Java SE 產品的修補程式可從以下連結下載:

Java Platform SE 8u181 (JDK 及 JRE),
Java Platform SE 10.0.2 (JDK 及 JRE)
http://www.oracle.com/technetwork/java/javase/downloads/index.html

關於其他 Oracle 產品，請參閱供應商網站相關安全公告中 “Patch Availability Table and Risk Matrices＂的部分:

http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

用戶可聯絡其產品支援供應商，以取得修補程式及有關支援。

進一步資訊:

https://isc.sans.edu/forums/diary/Weblogic+Exploit+Code+Made+Public+CVE20182893/23896/
http://blog.netlab.360.com/malicious-campaign-luoxk-is-actively-exploiting-cve-2018-2893/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2893
http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html
http://www.oracle.com/technetwork/java/javase/10-0-2-relnotes-4477557.html
http://www.oracle.com/technetwork/java/javase/8u181-relnotes-4479407.html
https://www.hkcert.org/my_url/zh/alert/18071801
https://www.us-cert.gov/ncas/current-activity/2018/07/17/Oracle-Releases-July-2018-Security-Bulletin
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4461
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0114
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0230
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2532
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3577
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7810
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8157
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9029
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9746
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0204
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3414 (to CVE-2015-3416)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5174
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5262
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5345
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5346
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5351
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5600
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6420
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7501
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7940
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0706
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0714
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0718
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1181
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1182
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2099
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2105 (to CVE-2016-2107)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2109
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2176
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3092
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3506
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4055
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4463
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5019
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5195
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5300
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6814
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-7103
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8735
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9841
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9843
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9878
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0379
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0785
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3633 (to CVE-2017-3636)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3641
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3647 (to CVE-2017-3649)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3651 (to CVE-2017-3653)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3732
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3735 (to CVE-2017-3738)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5529
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5533
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5645
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5662
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5664
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5715
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5753
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5754
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-6074
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7525
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9526
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9798
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10989
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12617
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-13088
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-13218
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15095
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15707
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0733
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0739
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1171
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1258
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1270 (to CVE-2018-1272)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1275
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1304
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1305
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1327
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2598
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2767
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2881
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2882
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2888
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2891 (to CVE-2018-2901)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2903 (to CVE-2018-2908)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2915 (to CVE-2018-2921)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2923 (to CVE-2018-2930)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2932 (to CVE-2018-2970)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2972 (to CVE-2018-2982)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2984 (to CVE-2018-3010)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3012 (to CVE-2018-3058)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3060 (to CVE-2018-3082)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3084 (to CVE-2018-3105)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3108
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3109
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3639
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3640
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7489
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8013
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000120 (to CVE-2018-1000122)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000300
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000301

標籤 : Oracle , Java , Oracle Database , Oracle Linux , MySQL , Sun Systems , Fusion , OSS Support Tools , WebLogic