保安警報 (A17-01-04): Oracle Java 及 Oracle 產品多個漏洞 (2017年1月)


 

發布日期: 2017 年 1 月 18 日

  
  

描述:

Oracle 發布了重要修補程式更新公告,包括一系列應對 Java SE 和不同 Oracle 產品中多個漏洞的安全修補程式。

在多個受影響的 Java 子部件中,包括2D, AWT, Deployment, Hotspot, JAAS, Java Mission Control, Libraries, Networking和RMI,發現了17個漏洞。其中16個漏洞可被未獲授權的攻擊者從遠端攻擊。

對於在 Oracle 產品中發現的漏洞,攻擊者可透過實體訪問或通過多種規約,包括 HTTP, HTTPS, LDAP, MySQL Protocol, Oracle Net, TLS, T3, 及SMTP經網絡從遠端攻擊。

攻擊者可通過多種方式攻擊受影響的系統。對於 Java,攻擊者可誘使用戶開啓載有不可靠 Java applet 或含惡意內容的 Java Web Start 應用程式的特製網頁,或以 Java launcher 起動執行檔。對於其他 Oracle 產品,遠端攻擊者可傳送特製的網絡封包到受影響系統攻擊這些漏洞。


受影響的系統:

  • Database
  • E-Business Suite
  • Enterprise Manager
  • Fusion Applications and Middleware
  • JD Edwards
  • MICROS Lucas
  • Oracle Big Data Graph
  • Oracle Commerce
  • Oracle Communications Applications
  • Oracle Financial Services Applications
  • Oracle Java SE
  • Oracle Linux and Virtualization
  • Oracle MySQL Product Suite
  • Oracle Primavera Products Suite
  • Oracle Retail Applications
  • Oracle Secure Backup
  • Oracle Supply Chain Products
  • Oracle and Sun Systems Products Suite
  • PeopleSoft
  • Siebel CRM

關於受影響產品的詳細資料,請參閱供應商網站相關安全公告中 “Affected Products and Components” 的部分:


http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html


影響:

成功攻擊這些漏洞可導致執行程式碼、阻斷服務、數據操縱、取得敏感資料或控制受影響的系統,視乎攻擊者利用哪個漏洞而定。


建議:

現已有適用於受影響系統的修補程式。受影響系統的用戶應遵從產品供應商的建議,立即採取行動以降低風險。
Oracle Java SE 產品的修補程式可從以下連結下載:

Java Platform SE 8 (JDK 及 JRE 8 Update 121)
- http://www.oracle.com/technetwork/java/javase/downloads/index.html

關於其他 Oracle 產品,請參閱供應商網站相關安全公告中 “Patch Availability Table and Risk Matrices"的部分:

- http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html

用戶可聯絡其產品支援供應商,以取得修補程式及有關支援。



進一步資訊:

http://www.oracle.com/technetwork/security-advisory/cpujan2017-2881727.html
http://www.oracle.com/technetwork/java/javase/8u121-relnotes-3315208.html
https://www.hkcert.org/my_url/en/alert/17011801
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0250
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1791
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3237
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3253
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5055
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7501
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7940
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2183
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0635
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0714
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0734
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1182
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1903
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5000
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5019
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5509
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5528
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5541
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5545 (to CVE-2016-5549)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5552
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5590
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5614
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5623
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6303
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6304
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-7052
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8282
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8297 (to CVE-2016-8320)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-8322 (to CVE-2016-8330)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3231
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3235
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3236
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3238 (to CVE-2017-3253)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3255 (to CVE-2017-3287)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3289 (to CVE-2017-3301)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3303
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3310 (to CVE-2017-3328)
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3330
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3332
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3333
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3359
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3361
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3362
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3363
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3368
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3369
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3372
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3373
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3415
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3418
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3421
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3440
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3443

Back to Advisories