甲骨文发布了关键修复更新(CPU),其中包括对14个Java漏洞的修复,所有这些漏洞都可以在不要求身份验证的情况下实施远程攻击。
在这14个漏洞中,5个漏洞的评分高于9.0(CVSS),这意味着它们非常重要并且在系统管理员的优先考虑范围之内。
Java 7寿终正寝
CPU中列出三个最高安全评分10分,包括Java安全漏洞(CVE-2015-0469、CVE-2015-0459以及CVE-2015-0491),无需复杂攻击这些漏洞便可被利用。
受影响的Java版本包括Java 7,除现有版本外,之后版本不会公布更新,它影响了依赖这一平台的应用程序。甲骨文表示,需要访问一般维修信息的客户依然需要这个版本的Java,而安全修复可通过该公司的有偿长期支持服务获得安全修复。
GNU libc库中的GHOST漏洞被修复
CPU在本季度收到的漏洞总数为98个,受影响的产品包括甲骨文数据库、甲骨文融合中间件、甲骨文电商套装以及甲骨文MySQL。这些产品至少有一 个重大安全漏洞(评分高于9.0)被修复。在数据库产品中,最严重的漏洞评分为9.0,但只针对早于12c的Windows版本。所有受支持的平台中数据 库12c相同漏洞的得分为6.5。
在融合中间件的17个补丁中,其中一个是针对GNU libc库中的GHOST漏洞,它影响甲骨文的Exalogic基础架构。
MySQL更新中整合了26个补丁,但其中4个漏洞也是最高评分,同时也可在未经身份验证的情况下被远程利用。
甲骨文强烈建议用户在更新发布后实施软件更新。甲骨文表示,“CPU发布的安全补丁已通过彻底的检测以确保这些补丁不会带来漏洞回归问题。”