發布日期: 2019年 10月 16日
Oracle 發布了重要修補程式更新公告,包括一系列應對 Java SE 和不同 Oracle 產品中多個漏洞的安全修補程式。
在多個受影響的 Java 子部件中,包括2D、Concurrency、Deployment、Hotspot、JAXP、JavaFX(libxslt)、Javadoc、Kerberos、Libraries、Networking、Scripting、Security 及 Serialization ,發現了20個漏洞。所有漏洞均可被未獲授權的攻擊者從遠端攻擊。
對於在其他 Oracle 產品中發現的漏洞,攻擊者可透過實體訪問或通過多種規約,包括HTTP、HTTPS、Kerberos、MySQL Protocol、MySQL Workbench、NTP、OracleNet、SNMP、SSH、T3 或 TLS 經網絡從遠端攻擊。
攻擊者可通過多種方式攻擊受影響的系統。對於 Java,攻擊者可誘使用戶開啓載有不可靠 Java applet 的特製網頁、開啓含惡意內容的 Java Web Start 應用程式,或者通過 Web service提交特製數據到指定部件中的 API。對於其他 Oracle 產品,遠端攻擊者可傳送特製的網絡封包到受影響系統攻擊這些漏洞。
有關受影響產品的完整列表,請參閱以下連結:
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html
成功攻擊這些漏洞可導致拒絕服務、篡改數據、泄漏資訊或控制受影響的系統,視乎攻擊者利用哪個漏洞而定。
現已有適用於受影響系統的修補程式。受影響系統的用戶應遵從產品供應商的建議,立即採取行動以降低風險。
Oracle Java SE 產品的修補程式可從以下連結下載:
http://www.oracle.com/technetwork/java/javase/downloads/index.html
關於其他 Oracle 產品,請參閱供應商網站相關安全公告中 “Patch Availability Table and Risk Matrices"的部分:
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html
用戶可聯絡其產品支援供應商,以取得修補程式及有關支援。
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html
https://www.oracle.com/technetwork/java/javase/11u-relnotes-5093844.html
https://www.oracle.com/technetwork/java/javase/13u-relnotes-5461742.html
https://www.oracle.com/technetwork/java/javase/documentation/8u-relnotes-2225394.html
https://www.hkcert.org/my_url/zh/alert/19101604
https://www.us-cert.gov/ncas/current-activity/2019/10/15/oracle-releases-october-2019-security-bulletin
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5180
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-9251
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0729
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4000
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6814
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-7103
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1000031
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5645
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-6056
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12626
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-17558
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0732
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2875
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3300
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7185
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8037
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11784
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12404
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-14721
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-15756
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-18066
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-19362
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000007
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0188
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0211
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0227
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0232
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1543
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1547
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1549
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1559
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2734
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2765
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2872
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2883
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2884
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2886 (to CVE-2019-2891)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2894 (to CVE-2019-2907)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2909 (to CVE-2019-2911)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2913 (to CVE-2019-2915)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2920
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2922 (to CVE-2019-2927)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2929 (to CVE-2019-3005)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3008 (to CVE-2019-3012)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3014
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3015
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3017 (to CVE-2019-3028)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3031
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3862
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5443
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6109
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8457
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9511
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9517
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10072
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10247
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11068
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11358
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12086
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12814
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-14379
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17091