甲骨文固定在Java中,它的数据库和其它产品127周二的安全问题,修补一些漏洞,可以让攻击者接管系统。
这是第一次甲骨文的Java包括在其季度重要补丁更新(CPU),作为公司的一部分,此前宣布的计划,以增加Java安全版本的频率从一个每四个月到一个每三个月。
新的Java SE 7中更新45(7u45)版本周二公布包含此CPU在127个安全修补程序的51。可远程无需认证被利用这些修正地址漏洞五十和其中12个具有最高的可能的严重等级,这意味着它们可被用于利用底层操作系统的完全控制。
在离开这个Java安全更新修补51个漏洞,40只影响客户端的部署,其中包括经常有针对性的Java Web浏览器插件和8个影响客户端和服务器的部署。
这些漏洞可以通过Java Web Start应用程序被开发或Java小程序,并在缺陷,也影响服务器的部署,通过在容易损坏的部件将数据发送到应用程序接口(API)的情况下。
其他两个Java漏洞在该版本中解决影响运行Javadoc工具作为服务和主机生成的文档站点。Javadoc工具是用来创建HTML文档文件。
最后一个安全漏洞影响与jHat,开发者工具,可以用来执行Java堆分析。
该CPU中的其他76个安全补丁未Java相关地址的漏洞在以下Oracle产品系列:Oracle数据库,Oracle融合中间件,Oracle企业管理器网格控制,Oracle电子商务套件,Oracle供应链产品套件,Oracle PeopleSoft软件企业中,Oracle Siebel托管型CRM中,Oracle iLearning,Oracle行业应用产品,Oracle FLEXCUBE,甲骨文Primavera的,甲骨文和Sun系统产品套件,Oracle Linux和虚拟化和Oracle的MySQL。
两个漏洞Oracle数据库服务器中得到解决,并都可以远程不经认证被利用,可能会导致数据的机密性的部分妥协。固定其中一人要求客户使他们的客户端和服务器之间的网络加密,如果数据是通过不安全的网络发送,埃里克·莫里斯,甲骨文的软件保证的导演,在说博客文章。
除了这两个漏洞,适用于Oracle融合中间件的两个人也适用于数据库部署。
表列出漏洞的确切数量在每个产品修补,其严重程度得分,他们影响的产品版本都包含在Oracle的CPU咨询十月。
除了Java 7的更新45,甲骨文还发布了Java 6更新65和Java 5更新55解决也适用于那些老版本的漏洞。然而,甲骨文停止为Java 5和6的公众支持,所以这些新的安全更新仅具有扩展支持合同提供给客户。
“为了解决效率这么大的补丁发布有超过120的漏洞,我们按以下顺序推荐工作:Java的第一个,因为它是在这个版本中最攻击软件,然后在服务中的漏洞被暴露在互联网上,这种从WebLogic,HTTP和其他人,”沃尔夫冈Kandek,漏洞管理公司Qualys的首席技术官周二表示,在博客文章。“希望你的数据库不直接暴露在互联网上,这应该给你更多的时间给他们带来最新的补丁级别。”