本周二,甲骨文公司修復瞭Java、數據庫及其它產品當中存在的127項安全問題,同時搞定瞭某些可能允許攻擊者接管系統的嚴重漏洞。
這是甲骨文第一次將Java納入其每季度重要補丁更新(簡稱CPU)清單。該公司此前曾公佈計劃,宣稱將提高Java安全版本的發佈頻率,由過去的四個月一次提高到三個月一次。
本周二發佈的最新Java SE 7 Update 45(7u45)版本當中包含51項修復內容,在本次重要補丁更新的全部127項內容中占據很大比例。在此次被修正的安全漏洞中,有50種能夠被以遠程方式用於繞過難機制、其中的12種更屬於最高嚴重等級——這意味著它們的存在很可能導致底層操作系統被完全控制。
在此次Java安全更新中被修復的51項漏洞當中,有40項隻影響客戶端部署,其中包括經常成為攻擊目標的Java網絡瀏覽器插件以及8項既影響客戶端又影響服務器部署的漏洞。
惡意人士可以通過Java Web Start應用或者Java程序利用這些漏洞;除此之外,這些安全隱患同樣會影響服務器部署——向漏洞組件中的應用程序接口(簡稱API)發送數據。
另外兩項已被解決的Java漏洞會影響到運行著Javadoc工具服務並托管結果文檔的站點。Javadoc工具的主要作用在於創建HTML文檔文件。
最後一項漏洞影響到的是jhat,一款能夠被用於執行Java堆分析的開發者工具。
在本次重要補丁更新中,其它76項與Java漏洞無關的安全修復涵蓋瞭甲骨文旗下的眾多產品線,其中包括:甲骨文數據庫、甲骨文Fusion中間件、甲骨文企業管理器網格控制、甲骨文電子商務套件、甲骨文供應鏈產品套件、甲骨文PeopleSoft企業版、甲骨文Siebel CRM、甲骨文iLearning、甲骨文行業應用程序、甲骨文FLEXCUBE、甲骨文Primavera、甲骨文與Sun Systems產品套件、甲骨文Linux、虛擬化以及甲骨文MySQL。
甲骨文Database Server中被解決的兩項漏洞都能被用於遠程繞過驗證機制並導致數據保密性遭到破壞。要修復這類問題,客戶需要在使用不受信網絡傳輸數據時、確保自己的客戶端與服務之間采取瞭網絡加密機制,甲骨文公司軟件保障業務負責人Eric Maurice在一篇博文中表示。
除瞭上述兩項漏洞之外,甲骨文Fusion中間件帶來的另外兩項漏洞同樣會對數據庫部署造成影響。
甲骨文將在本月推出的重要補丁更新咨文中詳盡列舉每款產品中得以修復的具體漏洞數量、嚴重程度評分以及漏洞所影響的具體產品版本。
除瞭為Java 7提供Update 45,甲骨文也帶來瞭Java 6的Update 65以及Java 5的Update 55,旨在修復那些同樣適用於舊版本的相同漏洞。不過甲骨文已經停止向公眾提供Java 5與Java 6的技術支持,因此此次安全更新隻適用於那些簽訂瞭擴展支持合約的客戶。
“為瞭高效讓這樣一個涵蓋120多項漏洞的巨大補丁盡快起到作用,我們建議各位按照以下順序進行安裝:從Java入手,因為它是此次更新對象中遭遇攻擊機率最高的軟件;接下來處理那些與互聯網緊密相關的服務漏洞,例如Weblogic、HTTP等等,”漏洞管理企業Oualys公司CTO Wolfgang Kandek在本周二的一篇博文中建議稱。“希望大傢的數據庫不要直接暴露在互聯網當中,這能為其補丁升級爭取到更多安全時間。”
Orignal From: 甲骨文:修補安全漏洞 遠離劫持風險
留言列表
