最新動(dòng)態(tài)

【高危漏洞預(yù)警】Oracle發(fā)布多個(gè)Java漏洞更新

2018-08-14

【高危漏洞預(yù)警】Oracle發(fā)布多個(gè)Java漏洞更新

2017年7月18日,Oracle官方發(fā)布了2017年7月份的安全公告,安全公告中報(bào)告了多個(gè)漏洞,遠(yuǎn)程用戶可以訪問和修改目標(biāo)系統(tǒng)上的數(shù)據(jù),或可以在目標(biāo)系統(tǒng)上獲得提升的權(quán)限,或?qū)е履繕?biāo)系統(tǒng)上的拒絕服務(wù),本次公告涉及到的安全漏洞較多,安全風(fēng)險(xiǎn)較高。

本次公告發(fā)布的漏洞影響范圍如下:

Java 6 Update 151

Java 7 Update 141

Java 8 Update 131

漏洞編號(hào):

CVE-2017-10053,CVE-2017-10067, CVE-2017-10074, CVE-2017-10078, CVE-2017-10081, CVE-2017-10086, CVE-2017-10087, CVE-2017-10089, CVE-2017-10090, CVE-2017-10096, CVE-2017-10101, CVE-2017-10102, CVE-2017-10104, CVE-2017-10105, CVE-2017-10107, CVE-2017-10108, CVE-2017-10109, CVE-2017-10110, CVE-2017-10111, CVE-2017-10114, CVE-2017-10115, CVE-2017-10116, CVE-2017-10117, CVE-2017-10118, CVE-2017-10121, CVE-2017-10125, CVE-2017-10135, CVE-2017-10145, CVE-2017-10176, CVE-2017-10193, CVE-2017-10198, CVE-2017-10243

漏洞名稱:

Java多個(gè)安全漏洞

官方評(píng)級(jí):

高危

漏洞描述:

Oracle Java SE公告中報(bào)告了多個(gè)漏洞,具體參見如下:

遠(yuǎn)程用戶可以利用AWT組件中的缺陷獲得提升的權(quán)限[CVE-2017-10110]

遠(yuǎn)程用戶可以利用ImageIO組件中的缺陷獲得提升的權(quán)限[CVE-2017-10089]

遠(yuǎn)程用戶可以利用JavaFX組件中的缺陷獲得提升的權(quán)限[CVE-2017-10086]

遠(yuǎn)程用戶可以利用JAXP組件中的缺陷獲得提升的權(quán)限[CVE-2017-10096]

遠(yuǎn)程用戶可以利用JAXP組件中的缺陷獲得提升的權(quán)限[CVE-2017-10101]

遠(yuǎn)程用戶可以利用庫組件中的缺陷獲得提升的權(quán)限[CVE-2017-10087,CVE-2017-10090,CVE-2017-10111]

遠(yuǎn)程用戶可以利用RMI組件中的缺陷獲得提升的權(quán)限[CVE-2017-10107,CVE-2017-10102]

遠(yuǎn)程用戶可以利用JavaFX組件中的缺陷獲得提升的權(quán)限[CVE-2017-10114]

遠(yuǎn)程用戶可以利用熱點(diǎn)組件中的缺陷獲得提升的權(quán)限[CVE-2017-10074]

遠(yuǎn)程用戶可以利用Security組件中的缺陷獲得提升的權(quán)限[CVE-2017-10116]

遠(yuǎn)程驗(yàn)證的用戶可以利用腳本組件中的缺陷來訪問和修改數(shù)據(jù)[CVE-2017-10078]

遠(yuǎn)程用戶可以利用安全組件中的缺陷獲得提升的權(quán)限[CVE-2017-10067]

遠(yuǎn)程用戶可以利用JCE組件中的缺陷來訪問數(shù)據(jù)[CVE-2017-10115,CVE-2017-10118]

遠(yuǎn)程用戶可以利用Security組件中的缺陷來訪問數(shù)據(jù)[CVE-2017-10176]

遠(yuǎn)程身份驗(yàn)證的用戶可以利用服務(wù)器組件中的缺陷部分訪問數(shù)據(jù),部分修改數(shù)據(jù),部分拒絕服務(wù)[CVE-2017-10104,CVE-2017-10145]

本地用戶可以利用部署組件中的缺陷獲得提升的權(quán)限[CVE-2017-10125]

遠(yuǎn)程用戶可以利用Security組件中的缺陷來訪問數(shù)據(jù)[CVE-2017-10198]

遠(yuǎn)程用戶可以利用JAX-WS組件中的缺陷部分訪問數(shù)據(jù)并導(dǎo)致部分拒絕服務(wù)條件[CVE-2017-10243]

遠(yuǎn)程用戶可以利用服務(wù)器組件中的缺陷部分訪問并部分修改數(shù)據(jù)[CVE-2017-10121]

遠(yuǎn)程用戶可以利用JCE組件中的缺陷來訪問數(shù)據(jù)[CVE-2017-10135]

遠(yuǎn)程用戶可以利用服務(wù)器組件中的缺陷部分訪問數(shù)據(jù)[CVE-2017-10117]

遠(yuǎn)程用戶可以利用2D組件中的缺陷導(dǎo)致部分拒絕服務(wù)條件[CVE-2017-10053]

遠(yuǎn)程用戶可以利用序列化組件中的缺陷導(dǎo)致部分拒絕服務(wù)條件[CVE-2017-10108,CVE-2017-10109]

遠(yuǎn)程用戶可以利用部署組件中的缺陷部分修改數(shù)據(jù)[CVE-2017-10105]

遠(yuǎn)程用戶可以利用Hotspot組件中的缺陷部分修改數(shù)據(jù)[CVE-2017-10081]

漏洞利用條件和方式:

遠(yuǎn)程利用或本地利用。

漏洞檢測(cè):

開發(fā)人員自查java版本是否在受影響版本內(nèi)。

漏洞修復(fù)建議(或緩解措施):

目前官網(wǎng)已經(jīng)發(fā)布最新版本修復(fù)該漏洞,用戶可以更新到Java 8 Update 141。

情報(bào)來源:

Oracle官方公告:http://www.oracle.com/technetwork/security-advisory/cpujul2017-3236622.html

http://www.securitytracker.com/id/1038931

??????華云數(shù)據(jù)集團(tuán)有限公司

??????二零一七年七月