政府電腦保安事故協調中心 - 保安警報 (A18-10-05): Oracle Java 及 Oracle 產品多個漏洞 (2018年10月)

描述:

Oracle 發布了重要修補程式更新公告，包括一系列應對 Java SE 和不同 Oracle 產品中多個漏洞的安全修補程式。

在多個受影響的 Java 子部件中，包括 Deployment、Hotspot、JDNI、JSSE、JavaFX、Networking、Scripting、Security、Serviceability、Sound 及 Utility，發現了 12 個漏洞。當中 11 都可被未獲授權的攻擊者從遠端攻擊。

對於在其他 Oracle 產品中發現的漏洞，攻擊者可透過實體訪問或通過多種規約，包括FTP、HTTP、Portmap、SMB、TLS、T3、VRDP、MySOL 規約及 X 規約經網絡從遠端攻擊。

攻擊者可通過多種方式攻擊受影響的系統。對於 Java，攻擊者可誘使用戶開啓載有不可靠 Java applet 的特製網頁、開啓含惡意內容的 Java Web Start 應用程式或，或者通過 Web 服務提交特製數據到指定部件中的 API 。對於其他 Oracle 產品，遠端攻擊者可傳送特製的網絡封包到受影響系統攻擊這些漏洞。

受影響的系統:

Oracle Java SE
Database
Oracle Linux and Virtualization
Oracle MySQL Product Suite
Oracle and Sun Systems Products Suite
Fusion Applications and Middleware
Oracle Support Tools

有關受影響產品的完整列表，請參閱以下連結:
https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html

影響:

成功攻擊這些漏洞可導致拒絕服務、篡改數據、泄漏資訊或控制受影響的系統，視乎攻擊者利用哪個漏洞而定。

建議:

現已有適用於受影響系統的修補程式。受影響系統的用戶應遵從產品供應商的建議，立即採取行動以降低風險。

Oracle Java SE 產品的修補程式可從以下連結下載:

Java Platform SE 8u191, 8u192 (JDK 及 JRE),
Java Platform SE 11.0.1 ((JDK 及 JRE)
http://www.oracle.com/technetwork/java/javase/downloads/index.html

關於其他 Oracle 產品，請參閱供應商網站相關安全公告中 “Patch Availability Table and Risk Matrices＂的部分
https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html

用戶可聯絡其產品支援供應商，以取得修補程式及有關支援。

進一步資訊:

https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html
https://www.oracle.com/technetwork/java/javase/11u-relnotes-5093844.html
https://www.oracle.com/technetwork/java/javase/8u191-relnotes-5032181.html
https://www.oracle.com/technetwork/java/javase/8u192-relnotes-4479409.html
https://www.hkcert.org/my_url/zh/alert/18101801
https://www.us-cert.gov/ncas/current-activity/2018/10/16/Oracle-Releases-October-2018-Security-Bulletin
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3490
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0235
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6937
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7501
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-9251
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0635
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0729
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1182
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2107
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4000
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5019
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5080
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5244
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6814
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-7167
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9843
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1000031
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3736
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5533
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5645
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5715
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7805
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9798
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14735
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15095
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0732
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0739
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1258
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1275
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1305
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2887
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2889
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2902
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2909
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2911 (to CVE-2018-2914)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2922
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2971
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3011
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3059
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3115
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3122
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3126 (to CVE-2018-3198)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3200 (to CVE-2018-3215)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3217 (to CVE-2018-3239)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3241 (to CVE-2018-3259)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3261 (to CVE-2018-3299)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3301
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3302
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7489
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8013
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8014
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11039
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11776
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12023
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-13785
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-18223
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-18224
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000300

標籤 : Oracle , Java , Oracle Database , Oracle Linux , MySQL , Sun Systems , Fusion , OSS Support Tools