1. 主页
  2. 保安警报
  3. 保安警报 (A18-10-05)

保安警报 (A18-10-05): Oracle Java 及 Oracle 产品多个漏洞 (2018年10月)


 

发布日期: 2018年 10月 18日

  
  

描述:

Oracle 发布了重要修补程式更新公告,包括一系列应对 Java SE 和不同 Oracle 产品中多个漏洞的安全修补程式。

在多个受影响的 Java 子部件中,包括 Deployment、Hotspot、JDNI、JSSE、JavaFX、Networking、Scripting、Security、Serviceability、Sound 及 Utility,发现了 12 个漏洞。当中 11 都可被未获授权的攻击者从远端攻击。

对于在其他 Oracle 产品中发现的漏洞,攻击者可透过实体访问或通过多种规约,包括FTP、HTTP、Portmap、SMB、TLS、T3、VRDP、MySOL 规约及 X 规约经网络从远端攻击。

攻击者可通过多种方式攻击受影响的系统。对于 Java,攻击者可诱使用户开启载有不可靠 Java applet 的特制网页、开启含恶意内容的 Java Web Start 应用程式或,或者通过 Web 服务提交特制数据到指定部件中的 API 。对于其他 Oracle 产品,远端攻击者可传送特制的网络封包到受影响系统攻击这些漏洞。

 

受影响的系统:

  • Oracle Java SE
  • Database
  • Oracle Linux and Virtualization
  • Oracle MySQL Product Suite
  • Oracle and Sun Systems Products Suite
  • Fusion Applications and Middleware
  • Oracle Support Tools

有关受影响产品的完整列表,请参阅以下连结:
https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html

 

影响:

成功攻击这些漏洞可导致拒绝服务、篡改数据、泄漏资讯或控制受影响的系统,视乎攻击者利用哪个漏洞而定。

 

建议:

现已有适用于受影响系统的修补程式。受影响系统的用户应遵从产品供应商的建议,立即采取行动以降低风险。

Oracle Java SE 产品的修补程式可从以下连结下载:

  • Java Platform SE 8u191, 8u192 (JDK 及 JRE),
  • Java Platform SE 11.0.1 ((JDK 及 JRE)
    http://www.oracle.com/technetwork/java/javase/downloads/index.html

关于其他 Oracle 产品,请参阅供应商网站相关安全公告中 “Patch Availability Table and Risk Matrices"的部分
https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html

用户可联络其产品支援供应商,以取得修补程式及有关支援。

 

进一步信息:

https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html
https://www.oracle.com/technetwork/java/javase/11u-relnotes-5093844.html
https://www.oracle.com/technetwork/java/javase/8u191-relnotes-5032181.html
https://www.oracle.com/technetwork/java/javase/8u192-relnotes-4479409.html
https://www.hkcert.org/my_url/zh/alert/18101801
https://www.us-cert.gov/ncas/current-activity/2018/10/16/Oracle-Releases-October-2018-Security-Bulletin
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3490
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0235
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-6937
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7501
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-9251
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0635
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0729
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1182
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2107
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4000
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5019
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5080
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5244
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6814
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-7167
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-9843
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1000031
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3736
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5533
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5645
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5715
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7805
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9798
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14735
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15095
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0732
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-0739
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1258
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1275
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1305
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2887
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2889
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2902
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2909
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2911 (to CVE-2018-2914)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2922
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2971
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3011
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3059
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3115
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3122
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3126 (to CVE-2018-3198)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3200 (to CVE-2018-3215)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3217 (to CVE-2018-3239)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3241 (to CVE-2018-3259)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3261 (to CVE-2018-3299)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3301
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3302
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7489
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8013
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8014
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11039
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11776
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12023
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-13785
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-18223
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-18224
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000300

 



标签 : Oracle , Java , Oracle Database , Oracle Linux , MySQL , Sun Systems , Fusion , OSS Support Tools
标签