Oracle重要补丁发布,修复关键漏洞

http://www.smzswang.com时间:2016-05-09 17:05来源:中国数码招商网

  IT168 资讯Oracle新季度安全更新报告称,他们对Java,MySQL和Oracle数据库服务器的关键漏洞进行了修复。这些漏洞可以在没有经过身份认证的情况下被攻击者远程利用。

  Oracle在补丁更新 (CPU)中称:目前修复了存在于46个不同产品中的136个漏洞。据,黑客已成功袭击了未采取有效Oracle补丁的客户。因此Oracle强烈建议客户尽快下载并安装补丁程序。

  目前,Oracle已经将CVSS 升级到了3.0版本,但是CVSS 2版本仍然可以使用。

  数据库修复

  Oracle去年四月修补了98枚漏洞,但是数目一直在增长,在今年一月份达到了284枚。与Oracle传统的补丁更新来说,此次修复的漏洞数量已经达到降低了。

  在Oracle数据库服务器的五个安全补丁,有两个是用来修复攻击者没有有效的登录凭据登陆成功的问题。最严重的漏洞是Java VM component(cve-2016-3454)在Oracle数据库服务器的版本11.2.04,12.1.0.1的一个漏洞。该漏洞攻击的复杂度很高,但是一旦成功,攻击者将完全控制目标系统。

  因关键系统依赖于Oracle数据库而不得不支付高昂费用的企业目前最担忧的是Oracle的CPU因为可读性的限制总是很难处理大量数据,Reguly表示:“虽然可能并不完美,但CVSSv3确实比CVSSv2有改进,这使得漏洞评分可更好地用于补丁优先级。”。出于对敏感数据的考量,公司应该把更多的注意力放在寻找和修补这些问题。

  MySQL仍受关注

  Oracle此次更新补丁并没有忽略MySQL。在Oracle MySQL 31项新补丁中,其中四项可以被攻击者远程利用。 MySQL Server"s packaging subcomponent (cve-2016-0705)和MySQL Server"s pluggable authentication subcomponent (cve-2016-0639)存在于5.6.29和5.7.11以及更早的版本中。在Oracle的 CVSS 3中等级为9.8(CVSS 2等级为10),这意味着这个漏洞攻击的复杂度较低,攻击者不必采取特殊方式。一旦攻击成功就可以完全控制目标系统。

  其他两个漏洞的级别也不是很高,但应优先考虑。MySQL服务器的加密漏洞(cve-2015-3194)在CVSS 3中等级为 7.5,存在于5.6.28和5.7.10以及更早的版本中。一旦攻击成功系统不可再用。

  MySQLServer"s connection handling subcomponent (csv-2016-2047)在CVSS 3中的等级为5.9。该漏洞存在于版本5.5.48,5.6.29, 5.7.11以及更早的版本中。一旦攻击成功,可以利用该漏洞修改服务器上的信息。

  管理员可以通过限制使用MySQL协议的直连设备的权限来减少被攻击风险。

  Java SE补丁

  Oracle修补了Oracle Java SE中的九大安全漏洞。所有的漏洞无需认证就可以被远程登陆,但用户的权限级别的不同会产生不同严重程度的后果。例如Windows系统中的管理员用户就要比Linux和Solaris访问限制用户导致的后果严重。

  甲骨文表示,Java SE"s 2D subcompone攻击的复杂度(CVE 2016-3443,CVSS等级为9.6),比 Java SE dded"s hotspot subcomponent (cve-2016-0687,CVSS等级为9.6)和Java SE dded"s serialization subcomponent(cve-2016-0686,CVSS等级为9.6)要低。受影响的系统包括Java SE 6u113,7u99,8u77,和JavaSE dded 8u77。

  Oracle称以上三个缺陷影响Web浏览器中运行的Java SE。但是该漏洞对服务器端加载和运行受信任的代码毫无影响。

  Java SE漏洞攻击的复杂性比Java SE dded和JRockit"s JMX sub-component (cve-2016-3427)要高,这意味着攻击者只需要完美的时机就可以了,不需要进行用户交互。该漏洞同时适用于客户端和服务器端,因为它既可以作用在沙箱运行的Java web start的程序,也可以作用在在沙箱运行的Java小程序,还可以作用在使用API的web服务中。

  四个关键漏洞一旦被攻击成功将导致信息披露,系统将完全被攻击者所控制。

  Java应用程序仍然存在,尤其是在游戏、远程访问工具,教育软件的应用中。好消息是,漏洞工具包的研发者似乎忽略了Adobe Flash对Java漏洞的兼容。据NTT集团最新的全球威胁情报报告称:所有和Adobe Flash相关的10大漏洞都进行了修复。

  即便如此,不要忽略Java。Oracle在3月发布了一款应用在桌面和浏览器插件版本的急救包。cve-2016-0636主要应用在Oracle Java SE 7u97,8u73和8u74,以及在CVSS 2 9.3级别以上的漏洞。如果用户没有安装这个包的话,那么安全会受到影响。

  上周的微软补丁更新、Adobe发布了警告JBoss, Samba 修复了Badlock Bug。如果不进行及时更新,那么黑客可能利用这些漏洞进行攻击。

  原文出处:

  http://www.infoworld.com/article/3059268/application-security/oracle-security-update-includes-java-mysql-oracle-database-fixes.html?utm_source=tuicool&utm_medium=referral

  标签:漏洞,oracle,数据库,补丁

  分享到:

  0 个人觉得赞好文章 点个赞您已经赞过了+1

    【免责声明】本文仅代表作者个人观点,与中国数码招商网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。您若对该稿件内容有任何疑问或质疑,请联系本网将迅速给您回应并做处理。