Oracle 修復 MySQL、Java 等產品的嚴重漏洞

近日，甲骨文發布2015年10月的 Critical Patch Update（簡稱“CPU”），修復了154個漏洞，其中8個在 Oracle Database Server，30 個在 MySQL，25個在 Java SE。甲骨文的軟件安全總監 Eric Maurice 在博客寫到，這次的修復包括了“非常嚴重的漏洞”，幸運的是還沒被利用。

在 Oracle Database 的漏洞中，7個屬于 Oracle Database Server，1個屬于 Oracle Database Mobile/Lite Server。最嚴重的一個在 Oracle Database Server 的 Portable Clusterware 組件，它的 CVSS 基本評分為10.0。這意味著 bug 無需用戶名和密碼，就可以被通過網絡遠程利用，導致目標系統妥協。另外三個重大漏洞，CVSS 基本評分為9.0，會影響到Database Scheduler 和 Java VM 組件。

甲骨文同時還修復了 MySQL 數據庫的30個安全漏洞，2個可以在沒有認證的情況下被遠程利用。最嚴重的一個漏洞會影響到 MySQL Enterprise Monitor 組件，這個組件在管理員和 root-level 權限下運行，會導致整個目標系統被接管。

這次發布的 “CPU” 對 Java 來說更為重要，共修復了的25個漏洞，其中24個可被用于遠程執行。7個在 Java SE 和 Java SE Embedded 6－8 版本的漏洞，CVSS 基本評分為 10.0。這些漏洞出現在多個庫和子組件里，包括 CORBA，RMI，Serialization 和 2D，只適用于 Java 客戶端。他們可以被經過沙盤的 Java Web Start 應用和 Java applets 所利用。

還有20個漏洞是基于瀏覽器的。甲骨文表示，用戶應該只使用最新的 JDK 或 JRE 7 和 8 發布的默認的 Java 插件和 Java Web Start 。

甲骨文建議用戶盡快使用此次發布的安全補丁。按照日程，下一次更新將在2016年1月19日。

編譯自：infoworld.com