甲骨文：修补安全漏洞 远离劫持风险

ZDNET安全频道 10月18日 国际新闻：本周二，甲骨文公司修复了Java、数据库及其它产品当中存在的127项安全问题，同时搞定了某些可能允许攻击者接管系统的严重漏洞。

这是甲骨文第一次将Java纳入其每季度重要补丁更新（简称CPU）清单。该公司此前曾公布计划，宣称将提高Java安全版本的发布频率，由过去的四个月一次提高到三个月一次。

本周二发布的最新Java SE 7 Update 45（7u45）版本当中包含51项修复内容，在本次重要补丁更新的全部127项内容中占据很大比例。在此次被修正的安全漏洞中，有50种能够被以远程方式用于绕过难机制、其中的12种更属于最高严重等级——这意味着它们的存在很可能导致底层操作系统被完全控制。

在此次Java安全更新中被修复的51项漏洞当中，有40项只影响客户端部署，其中包括经常成为攻击目标的Java网络浏览器插件以及8项既影响客户端又影响服务器部署的漏洞。

恶意人士可以通过Java Web Start应用或者Java程序利用这些漏洞；除此之外，这些安全隐患同样会影响服务器部署——向漏洞组件中的应用程序接口（简称API）发送数据。

另外两项已被解决的Java漏洞会影响到运行着Javadoc工具服务并托管结果文档的站点。Javadoc工具的主要作用在于创建HTML文档文件。

最后一项漏洞影响到的是jhat，一款能够被用于执行Java堆分析的开发者工具。

在本次重要补丁更新中，其它76项与Java漏洞无关的安全修复涵盖了甲骨文旗下的众多产品线，其中包括：甲骨文数据库、甲骨文Fusion中间件、甲骨文企业管理器网格控制、甲骨文电子商务套件、甲骨文供应链产品套件、甲骨文PeopleSoft企业版、甲骨文Siebel CRM、甲骨文iLearning、甲骨文行业应用程序、甲骨文FLEXCUBE、甲骨文Primavera、甲骨文与Sun Systems产品套件、甲骨文Linux、虚拟化以及甲骨文MySQL。

甲骨文Database Server中被解决的两项漏洞都能被用于远程绕过验证机制并导致数据保密性遭到破坏。要修复这类问题，客户需要在使用不受信网络传输数据时、确保自己的客户端与服务之间采取了网络加密机制，甲骨文公司软件保障业务负责人Eric Maurice在一篇博文中表示。

除了上述两项漏洞之外，甲骨文Fusion中间件带来的另外两项漏洞同样会对数据库部署造成影响。

甲骨文将在本月推出的重要补丁更新咨文中详尽列举每款产品中得以修复的具体漏洞数量、严重程度评分以及漏洞所影响的具体产品版本。

除了为Java 7提供Update 45，甲骨文也带来了Java 6的Update 65以及Java 5的Update 55，旨在修复那些同样适用于旧版本的相同漏洞。不过甲骨文已经停止向公众提供Java 5与Java 6的技术支持，因此此次安全更新只适用于那些签订了扩展支持合约的客户。

“为了高效让这样一个涵盖120多项漏洞的巨大补丁尽快起到作用，我们建议各位按照以下顺序进行安装：从Java入手，因为它是此次更新对象中遭遇攻击机率最高的软件；接下来处理那些与互联网紧密相关的服务漏洞，例如Weblogic、HTTP等等，”漏洞管理企业Oualys公司CTO Wolfgang Kandek在本周二的一篇博文中建议称。“希望大家的数据库不要直接暴露在互联网当中，这能为其补丁升级争取到更多安全时间。”