【IT168 资讯】Oracle新季度安全更新报告称，他们对Java，MySQL和Oracle数据库服务器的关键漏洞进行了修复。这些漏洞可以在没有经过身份认证的情况下被攻击者远程利用。

　　Oracle在补丁更新 (CPU)中称：目前修复了存在于46个不同产品中的136个漏洞。据相关报道，黑客已成功袭击了未采取有效Oracle补丁的客户。因此Oracle强烈建议客户尽快下载并安装补丁程序。

　　目前，Oracle已经将CVSS 升级到了3.0版本，但是CVSS 2版本仍然可以使用。

　　数据库修复

　　Oracle去年四月修补了98枚漏洞，但是数目一直在增长，在今年一月份达到了284枚。与Oracle传统的补丁更新来说，此次修复的漏洞数量已经达到降低了。

　　在Oracle数据库服务器的五个安全补丁，有两个是用来修复攻击者没有有效的登录凭据登陆成功的问题。最严重的漏洞是Java VM component(cve-2016-3454)在Oracle数据库服务器的版本11.2.04，12.1.0.1的一个漏洞。该漏洞攻击的复杂度很高，但是一旦成功，攻击者将完全控制目标系统。

　　因关键系统依赖于Oracle数据库而不得不支付高昂费用的企业目前最担忧的是Oracle的CPU因为可读性的限制总是很难处理大量数据，Reguly表示：“虽然可能并不完美，但CVSSv3确实比CVSSv2有改进，这使得漏洞评分可更好地用于补丁优先级。”。出于对敏感数据的考量，公司应该把更多的注意力放在寻找和修补这些问题。

　　MySQL仍受关注

　　Oracle此次更新补丁并没有忽略MySQL。在Oracle MySQL 31项新补丁中，其中四项可以被攻击者远程利用。 MySQL Server's packaging subcomponent (cve-2016-0705)和MySQL Server's pluggable authentication subcomponent (cve-2016-0639)存在于5.6.29和5.7.11以及更早的版本中。在Oracle的 CVSS 3中等级为9.8(CVSS 2等级为10)，这意味着这个漏洞攻击的复杂度较低，攻击者不必采取特殊方式。一旦攻击成功就可以完全控制目标系统。

　　其他两个漏洞的级别也不是很高，但应优先考虑。MySQL服务器的加密漏洞(cve-2015-3194)在CVSS 3中等级为 7.5，存在于5.6.28和5.7.10以及更早的版本中。一旦攻击成功系统不可再用。

　　MySQLServer's connection handling subcomponent (csv-2016-2047)在CVSS 3中的等级为5.9。该漏洞存在于版本5.5.48，5.6.29， 5.7.11以及更早的版本中。一旦攻击成功，可以利用该漏洞修改服务器上的信息。

　　管理员可以通过限制使用MySQL协议的直连设备的权限来减少被攻击风险。

　　Java SE补丁

　　Oracle修补了Oracle Java SE中的九大安全漏洞。所有的漏洞无需认证就可以被远程登陆，但用户的权限级别的不同会产生不同严重程度的后果。例如Windows系统中的管理员用户就要比Linux和Solaris访问限制用户导致的后果严重。

　　甲骨文表示，Java SE's 2D subcompone攻击的复杂度(CVE 2016-3443，CVSS等级为9.6)，比 Java SE Embedded's hotspot subcomponent (cve-2016-0687，CVSS等级为9.6)和Java SE Embedded's serialization subcomponent(cve-2016-0686，CVSS等级为9.6)要低。受影响的系统包括Java SE 6u113，7u99，8u77，和JavaSE Embedded 8u77。

　　Oracle称以上三个缺陷影响Web浏览器中运行的Java SE。但是该漏洞对服务器端加载和运行受信任的代码毫无影响。

　　Java SE漏洞攻击的复杂性比Java SE Embedded和JRockit's JMX sub-component (cve-2016-3427)要高，这意味着攻击者只需要完美的时机就可以了，不需要进行用户交互。该漏洞同时适用于客户端和服务器端，因为它既可以作用在沙箱运行的Java web start的程序，也可以作用在在沙箱运行的Java小程序，还可以作用在使用API的web服务中。

　　四个关键漏洞一旦被攻击成功将导致信息披露，系统将完全被攻击者所控制。

　　Java应用程序仍然存在，尤其是在游戏、远程访问工具，教育软件的应用中。好消息是，漏洞工具包的研发者似乎忽略了Adobe Flash对Java漏洞的兼容。据NTT集团最新的全球威胁情报报告称：所有和Adobe Flash相关的10大漏洞都进行了修复。

　　即便如此，不要忽略Java。Oracle在3月发布了一款应用在桌面和浏览器插件版本的急救包。cve-2016-0636主要应用在Oracle Java SE 7u97，8u73和8u74，以及在CVSS 2 9.3级别以上的漏洞。如果用户没有安装这个包的话，那么安全会受到影响。

　　上周的微软补丁更新、Adobe发布了警告JBoss， Samba 修复了Badlock Bug。如果不进行及时更新，那么黑客可能利用这些漏洞进行攻击。

　　原文出处：

　　http://www.infoworld.com/article/3059268/application-security/oracle-security-update-includes-java-mysql-oracle-database-fixes.html?utm_source=tuicool&utm_medium=referral