本周,甲骨文发布了一个庞大的季度补丁更新,修复了其产品组合中多达248个漏洞。尽管它的大小,Oracle数据库,MySQL和Java只占三分之一的修复1月份关键补丁更新。
一月份的CPU处理Oracle数据库服务器的七个漏洞,三层为的Oracle GoldenGate组件,八甲骨文的Java SE,以及甲骨文的MySQL 22。此更新还关闭了甲骨文的Sun系统产品套件,其中包括在的Solaris Oracle虚拟化九个方面的问题和23。作为曾经的情况与以前的CPU中,修复了大部分的份额集中在企业的应用,包括Oracle EBS,Oracle融合Middlware和Oracle的PeopleSoft。这四个补丁为8.0通用安全漏洞评分标准分以上是对Java和Oracle数据库。
除了一月份的CPU, Oracle还发布了针对Weblogic Apache常见漏洞的补丁集更新(PSUs)。Oracle已经为Novemer的Weblogic发布了一个带外安全补丁来解决这个问题Apache Commons中的反序列化漏洞图书馆。PSUs是包含安全补丁和优先级补丁的累积补丁。
所有数据库修复
Oracle关闭了Oracle数据库服务器版本11.2.0.4、12.1.0.1和12.1.0.2中的安全漏洞。没有一个漏洞可以在没有身份验证的情况下被远程利用,但是Java VM组件(CVE-2016-0499)中的问题的CVSS评分为9.0。如果目标系统是一台运行12c以上数据库版本的Windows机器,则攻击者将能够通过这个缺陷完全控制数据库服务器。对于数据库服务器在Linux上运行,Unix和其他平台,以及在Windows上的数据库12c, CVSS分数下降到6.5和某人在服务器上得到完全控制的可能性减少了,根据咨询。
这些更新会影响以下组件:Java VM、工作区管理器、XDB-XML数据库、数据库库、安全性和XML开发人员的C工具包。
在MySQL的22个缺陷中,只有一个在客户端应用程序中,可以在不进行身份验证的情况下被远程利用。仅当mysql客户端使用管理或root特权本地运行时,CVSS得分为7.2。在系统上,mysql客户端被给予限制的特权,因为被认为是最佳实践,CVSS分数下降到4.6。
更新影响的MySQL版本46年5月5日和更早版本,27年6月5日和更早版本,以及5.7.9。
Java更新次数少
一月份的CPU可能关闭了Java中相当少的漏洞,因为Oracle正在弱化Java的重要性。更有可能的是,甲骨文感觉舒适别处转移它的bug修复工作,因为Java是不是不稳定或围困,因为它曾经是。在过去的一年甲骨文一直专注于使得Java更安全,比如做小程序更难使他们选择性地通过部署规则集以可乘之机。有些浏览器列入白名单Java作为点即玩,和微软的Java添加到它的EMET工具,造成了“为Java更稳定的环境,”沃尔夫冈Kandek,Qualys的首席技术官。“我们没有听到它在任何主要攻击活动的使用。”
然而,三八大漏洞被评为关键,以10.0 CVSS分数。严重性假定运行Java用户applet或Java Web Start应用具有管理员权限,这是Windows系统中的典型场景。的CVSS分数下降到7.5,如果用户不具有管理员权限,在Solaris和Linux系统中较常出现的场景。
关键缺陷二,在Java中的2D部件(CVE-2016-0494),并在Java中的AWT(CVE-2015-8126),只能通过沙箱Java Web Start应用和Java applets利用。其他AWT漏洞(CVE-2016-0483),也适用于服务器端的Java部署。攻击者可以利用可能通过Web服务提供的数据错误“并应在你的服务器团队看,” Kandek说。
Oracle“强烈建议”客户继续使用积极支持的版本,并立即应用关键的补丁更新补丁。在解决Solaris 11中的16个更新中,有4个可以在不进行身份验证的情况下远程使用。同样令人担忧的是,8次攻击可能会导致攻击者获得对系统的完全控制。不支持的Solaris 11。版本应该升级到支持的版本或补丁集。
似乎没有一个漏洞被积极利用,但这并不意味着管理员可以花时间打补丁。即使补丁已经发布,攻击者也会频繁地攻击漏洞,因为他们知道每个人都不会很快地打补丁。
这个故事,“Oracle修复Java中的关键缺陷,数据库服务器”最初是由信息世界 。