近日,甲骨文发布2015年10月的 Critical Patch
Update(简称“CPU”),修复了154个漏洞,其中8个在
Oracle Database Server,30 个在 MySQL,25个在 Java
SE。甲骨文的软件安全总监 Eric Maurice
在博客写到,这次的修复包括了“非常严重的漏洞”,幸运的是还没被利用。

甲骨文公司今天发布了2014年4月重要补丁更新,这个补丁更新包修复了甲骨文的多个产品中的104个漏洞,其中包括Java
SE、MySQL、Oracle数据库、Oracle Linux、Oracle
Fusion中间件以及其他企业相关套件等。一些漏洞相当危险,甲骨文建议用户尽快更新。此次更新中,有37个漏洞与Java
SE相关,其中有4个漏洞的CVSS评分为10.0
,此外,29个漏洞只影响客户端Java,6个漏洞影响服务器端Java。Oracle数据库中包含2个重要的漏洞,CVSS评分高达8.5,攻击者利用该漏洞可完全控制目标系统。此外,Oracle
WebLogic服务器也包含一个重要漏洞
,使得攻击者无需身份验证即可控制WebLogic服务器。详细信息:甲骨文今天也发布了JDK
8u5和JDK
7u55两个安全更新版本
,已经修复了上述漏洞,建议Java开发者尽快更新。下载地址:关注ITeye官微,随时随地查看最新开发资讯、技术文章。

在 Oracle Database 的漏洞中,7个属于 Oracle Database Server,1个属于
Oracle Database Mobile/Lite Server。最严重的一个在 Oracle Database
Server 的 Portable Clusterware 组件,它的 CVSS 基本评分为10.0。这意味着
bug
无需用户名和密码,就可以被通过网络远程利用,导致目标系统妥协。另外三个重大漏洞,CVSS
基本评分为9.0,会影响到Database Scheduler 和 Java VM 组件。

Oracle今年4月关键补丁更新(Critical Patch
Update)涉及多款产品中的136个漏洞,其中最大的变化是切换到通用安全漏洞评分系统3.0版本或者说CVSSv3,该版本可更准确反映漏洞带来的影响。

甲骨文同时还修复了 MySQL
数据库的30个安全漏洞,2个可以在没有认证的情况下被远程利用。最严重的一个漏洞会影响到
MySQL Enterprise Monitor 组件,这个组件在管理员和 root-level
权限下运行,会导致整个目标系统被接管。

图片 1

这 次发布的 “CPU” 对 Java
来说更为重要,共修复了的25个漏洞,其中24个可被用于远程执行。7个在 Java
SE 和 Java SE Embedded 6-8 版本的漏洞,CVSS 基本评分为
10.0。这些漏洞出现在多个库和子组件里,包括 CORBA,RMI,Serialization 和
2D,只适用于 Java 客户端。他们可以被经过沙盘的
Java Web Start 应用和 Java applets 所利用。

Oracle公司在其补丁公告中指出,这个关键补丁更新中的漏洞同时使用3.0和2.0版本的通用安全漏洞评分系统来评分,但未来CPU和安全警报将仅使用CVSS
3.0评分。

还有20个漏洞是基于浏览器的。甲骨文表示,用户应该只使用最新的 JDK 或 JRE
7 和 8 发布的默认的 Java 插件和 Java Web Start 。

Tripwire公司漏洞和披露研究小组(VERT)经理Tyler Reguly表示,转到CVSS
3.0可能是本月Oracle补丁公告中唯一的好消息。

甲骨文建议用户尽快使用此次发布的安全补丁。按照日程,下一次更新将在2016年1月19日。

Oracle的CPU因为可读性的限制总是很难处理大量数据,Reguly表示:“虽然可能并不完美,但CVSSv3确实比CVSSv2有改进,这使得漏洞评分可更好地用于补丁优先级。”

编译自:infoworld.com

“此外,Oracle从来没有使用真正的CVSSv2,而是利用自身修改版本的CVSSv2,关联其他数据来源,”他继续说道,“不过,CVSSv3还没有被广泛采用,很多表示提供CVSSv3支持的供应商和数据源迄今都没有兑现承诺,这限制了CVSSv3在相关漏洞信息中的有效性。”

文章转载自:开源中国社区 []    

Reguly补充说:“对于现在进行修复的企业来说,首要一步是知道企业环境中的Oracle产品(有时候我们会忘记有多少产品),并在CPU中识别它们。本月的补丁公告中,你可以先处理CVSS评分超过9.0的漏洞,再处理超过7.0的漏洞。在这种情况下,CVSS评分提供了最佳的优先指标。”

Oracle补丁现在涵盖多项产品,包括Fusion
Middleware、PeopleSoft、Solaris、VM VirtualBox、MySQL和Java。转到CVSS
3.0很值得关注,因为基于CVSS
3.0,被视为关键的Oracle补丁数量是17,而基于CVSS 2.0则是9;使用CVSS
3.0有25个漏洞被评为高严重性漏洞,使用CVSS 2.0则只有12个。

根据CVSS 3.0,最严重的漏洞出现在Oracle Fusion
Middleware中(7个漏洞被评为9.8分);一个Solaris漏洞评为9.8;MySQL有两个漏洞被评为9.8;还有三个Java
SE漏洞被评为9.6。Java SE、Java VM、Oracle Field Service和Oracle
FLEXCUBE中的漏洞也被评为9.0或更高。

Tripware公司安全研究人员Lane
Thames表示,Java应该在优先级列表中,因为它的广泛普及率,并且,攻击者经常会针对新的Java漏洞开发漏洞利用。

Thames还指出,对于CVE-2016-0636可能会有一些混淆,这是Oracle3月安全警报中的漏洞。

“因为对CVE-2016-0636技术细节的公开披露,Oracle发布该漏洞的带外补丁,”Thames称,“这个漏洞没有列在4月的CPU部分,但受影响版本的补丁级别还是一样。有些人可能会质疑这个最新版本的CPU是否包含针对该漏洞的代码修复。”

除了对CVE-2016-0636的担忧外,Thames表示:“管理员还应该观察到,CPU修复了几个关键漏洞,这些漏洞可能影响服务器和客户端安装,并可能在没有验证的情况下远程通过网络来利用。”

“管理员还应该注意到,特定主机可能包含多个Java安装。同样地,各种应用会嵌入自己的Java副本。正因为这样,现在企业IT面临复杂的Java修复环境,”Thames称,“除Java之外,我建议专注于服务器端的补丁,面向互联网的服务有最高优先级。这个规则的唯一特例是当已知漏洞利用可用时。”

【编辑推荐】