政府電腦保安事故協調中心 - 保安警報 (A20-07-06): Oracle Java 及 Oracle 產品多個漏洞 (2020年7月)

描述:

Oracle 發布了重要修補程式更新公告，包括一系列應對 Java SE 和不同 Oracle 產品中多個漏洞的安全修補程式。

在多個受影響的 Java 、 OpenJDK 及 OpenJFX 子部件中，包括 2D 、 Hotspot 、 ImageIO 、 JAXP 、 JSSE 、 JavaFX 及 Libraries ，發現了11個漏洞。

對於在其他 Oracle 產品中發現的漏洞，攻擊者可透過實體訪問或通過多種規約，包括 Apache JServ Protocol (AJP) 、 HTTP 、 HTTPS 、 IIOP 、 MySQL Protocol 、 SMTPS 、 OracleNet 、 TLS 或 T3 。

攻擊者可通過多種方式攻擊受影響的系統。對於 Java 及 OpenJDK ，攻擊者可誘使用戶開啓載有不可靠並且含有惡意內容的 applet或 Web Start 應用程式，或者通過 Web service 提交特製數據到指定部件中的 API。對於其他 Oracle 產品，通過認證的本機攻擊者可以登入受影響系統的基礎建設以攻擊這些漏洞。遠端攻擊者可傳送特製的網絡封包至受影響系統以攻擊這些漏洞。

受影響的系統:

Oracle Java SE
OpenJDK
Database
Oracle Linux and Virtualization
Oracle MySQL Product Suite
Oracle and Sun Systems Products Suite
Fusion Applications and Middleware

有關受影響產品的完整列表，請參閱以下連結:
https://www.oracle.com/security-alerts/cpujul2020.html

影響:

成功攻擊這些漏洞可導致拒絕服務、篡改數據、泄漏資訊或控制受影響的系統，視乎攻擊者利用哪個漏洞而定。

建議:

現已有適用於受影響系統的修補程式。受影響系統的用戶應遵從產品供應商的建議，立即採取行動以降低風險。

Oracle Java SE 產品的修補程式可從以下連結下載:

Java Platform SE 8u261 (JDK 及 JRE)
Java Platform SE 11.0.8 (JDK 及 JRE)
Java Platform SE 14.0.2 (JDK 及 JRE)
http://www.oracle.com/technetwork/java/javase/downloads/index.html

OpenJDK 14.0.2 的修補程式可從以下連結下載:
https://jdk.java.net/14/

用戶也可通過以下保安公告，以獲取有關其他 Oracle 產品安全更新的資訊。
https://www.oracle.com/security-alerts/cpujul2020.html
用戶可聯絡其產品支援供應商，以取得修補程式及有關支援。

進一步資訊:

https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/java/technologies/javase/8u261-relnotes.html
https://www.oracle.com/java/technologies/javase/11-0-8-relnotes.html
https://www.oracle.com/java/technologies/javase/14-0-2-relnotes.html
https://openjdk.java.net/groups/vulnerability/advisories/2020-07-14
https://www.hkcert.org/my_url/zh/alert/20071505
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7501
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-9251
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1181
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4000
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5019
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6814
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9843
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1000031
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0861
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5645
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-10140
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12626
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15708
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1258
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3639
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8013
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-10237
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11058
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11776
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12023
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12207
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-15756
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-17196
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-18314
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0188
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0222
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0227
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1547
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1551
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2729
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-2904
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3740
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5489
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8457
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10086
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10193
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10247
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11358
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12086
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12402
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12415
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12423
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-13990
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-14379
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-14862
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-16056
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-16943
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17091
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17359
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17531
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17560
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17563
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17569
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1934
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1938
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1941
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1945
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1951
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1967
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2513
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2555
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2562
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2966 (to CVE-2020-2969)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2971 (to CVE-2020-2978)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2981 (to CVE-2020-2984)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5258
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5398
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7060
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7595
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8112
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9484
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9488
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9546
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10683
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11022
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11080
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11656
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14527 (to CVE-2020-14537)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14539 (to CVE-2020-14671)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14673 (to CVE-2020-14682)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14684 (to CVE-2020-14688)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14690 (to CVE-2020-14724)

標籤 : Oracle , Java , OpenJDK , Oracle Database , Oracle Linux , MySQL , Sun Systems , Fusion