Oracle 發布了重要修補程式更新公告,包括一系列應對 Java SE 和不同 Oracle 產品中多個漏洞的安全修補程式。
在多個受影響的 Java 子部件中,包括 Server、ImageIO (libjepg) 、Networking、Deployment及 Library,發現了 5 個漏洞。所有漏洞均可被未獲授權的攻擊者從遠端攻擊。
對於在其他 Oracle 產品中發現的漏洞,攻擊者可透過實體訪問或通過多種規約,包括DHCP、HTTP、HTTPS、KSSL、Local Logon、MySQL Protocol、MySQL Workbench、Oracle Net、SOAP、T3、TCP及TLS經網絡從遠端攻擊。
攻擊者可通過多種方式攻擊受影響的系統。對於 Java,攻擊者可誘使用戶開啓載有不可靠 Java applet 的特製網頁、開啓含惡意內容的 Java Web Start 應用程式,或者通過 Web 服務提交特製數據到指定部件中的 API。對於其他 Oracle 產品,遠端攻擊者可傳送特製的網絡封包到受影響系統攻擊這些漏洞。
有關受影響產品的完整列表,請參閱以下連結:
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html
成功攻擊這些漏洞可導致拒絕服務、篡改數據、泄漏資訊或控制受影響的系統,視乎攻擊者利用哪個漏洞而定。
現已有適用於受影響系統的修補程式。受影響系統的用戶應遵從產品供應商的建議,立即採取行動以降低風險。
Oracle Java SE 產品的修補程式可從以下連結下載:
關於其他 Oracle 產品,請參閱供應商網站相關安全公告中 “Patch Availability Table and Risk Matrices"的部分
https://www.oracle.com/technetwork/security-advisory/cpujan2019verbose-5072807.html
用戶可聯絡其產品支援供應商,以取得修補程式及有關支援。
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html
https://www.oracle.com/technetwork/java/javase/11-0-2-relnotes-5188746.html
https://www.oracle.com/technetwork/java/javase/8u201-relnotes-5209271.html
https://www.oracle.com/technetwork/java/javase/8u202-relnotes-5209339.html
https://www.hkcert.org/my_url/zh/alert/19011601
https://www.us-cert.gov/ncas/current-activity/2019/01/15/Oracle-Releases-January-2019-Security-Bulletin
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1832
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-8965
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-9251
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0635
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1181
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4000
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5684
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6814
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9389
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9392
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9583
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0379
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5645
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7658
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9798
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-13745
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14229
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14735
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15095
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0732
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0734
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1258
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1275
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3125
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3147
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3303 (to CVE-2018-3305)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3309
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3311
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3639
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3646
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-5390
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8013
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-9206
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2395 (to CVE-2019-2423)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2425 (to CVE-2019-2427)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2429 (to CVE-2019-2453)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2455 (to CVE-2019-2482)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2485 (to CVE-2019-2513)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2519 (to CVE-2019-2541)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2543 (to CVE-2019-2550)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2552 (to CVE-2019-2556)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-10933
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11212
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11763
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11775
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11776
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11784
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12023
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-14718
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1000031
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000180
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000300
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000632