近日,甲骨文发布2015年10月的 Critical Patch Update(简称“CPU”),修复了154个漏洞,其中8个在 Oracle Database Server,30 个在 MySQL,25个在 Java SE。甲骨文的软件安全总监 Eric Maurice 在博客写到,这次的修复包括了“非常严重的漏洞”,幸运的是还没被利用。
在 Oracle Database 的漏洞中,7个属于 Oracle Database Server,1个属于 Oracle Database Mobile/Lite Server。最严重的一个在 Oracle Database Server 的 Portable Clusterware 组件,它的 CVSS 基本评分为10.0。这意味着 bug 无需用户名和密码,就可以被通过网络远程利用,导致目标系统妥协。另外三个重大漏洞,CVSS 基本评分为9.0,会影响到Database Scheduler 和 Java VM 组件。
甲骨文同时还修复了 MySQL 数据库的30个安全漏洞,2个可以在没有认证的情况下被远程利用。最严重的一个漏洞会影响到 MySQL Enterprise Monitor 组件,这个组件在管理员和 root-level 权限下运行,会导致整个目标系统被接管。
这 次发布的 “CPU” 对 Java 来说更为重要,共修复了的25个漏洞,其中24个可被用于远程执行。7个在 Java SE 和 Java SE Embedded 6-8 版本的漏洞,CVSS 基本评分为 10.0。这些漏洞出现在多个库和子组件里,包括 CORBA,RMI,Serialization 和 2D,只适用于 Java 客户端。他们可以被经过沙盘的 Java Web Start 应用和 Java applets 所利用。
还有20个漏洞是基于浏览器的。甲骨文表示,用户应该只使用最新的 JDK 或 JRE 7 和 8 发布的默认的 Java 插件和 Java Web Start 。
甲骨文建议用户尽快使用此次发布的安全补丁。按照日程,下一次更新将在2016年1月19日。
编译自:infoworld.com