日常通告
云手机免费内测开始招募啦
云平台升级公告
【优惠】态势感知钜惠来袭
云数据库产品降价通知
云主机产品规格更新
云平台升级通知
按量计费规则调整通知
春节期间服务安排通知
新版控制台上线啦
2018年发票申请倒计时(20...
实名认证通告(2017年12月...
日常维护通知
上海张江&陈家弄机房网...
北京数据中心网络割接(2017...
武汉南垸数据中心网络割接(20...
北京云谷数据中心网络割接(20...
北京数据中心网络割接(2017...
北京云谷数据中心网络割接(20...
北京电信网络故障
京南机房设备升级通知
香港DC数据中心和DC数据中心...
深圳裕华机房网络割接通知
香港DC数据中心S&香...
北京木樨园机房升级用户通知
关于香港DYX节点迁移的通知
6月20日武汉南垸机房设备升级...
2015年4月5日香港CMI机...
漏洞预警通知
【漏洞预警】Windows 远...
【漏洞预警】Windows R...
【漏洞预警】Linux 内核T...
【漏洞预警】Linux内核提权...
【高危事件预警】关于Globe...
【漏洞预警】ApacheTom...
【漏洞预警】Windows R...
【漏洞预警】ThinkPHP5...
【漏洞预警】Jenkins 非...
【漏洞预警】Kubernete...
【漏洞预警】最新Apache ...
【漏洞预警】 Gogs 和 G...
关于处理“memcached漏...
【高危事件预警】新勒索病毒Ba...
CVE-2017-7494:S...
【漏洞预警】CVE-2017-...
【高危事件预警】Petya 勒...
【重要】Windows系统曝高...
紧急通知:关于防范近期爆发的W...
【高危漏洞预警】Oracle发...
【高危漏洞预警】微软“10月周...
政策法规提醒通告
关于海外服务器违规开展跨境业务...
关于进一步加强未备案网站管理工...
关于全面清查利用VPN、SSR...

【高危漏洞预警】Oracle发布多个Java漏洞更新

2017年7月18日,Oracle官方发布了2017年7月份的安全公告,安全公告中报告了多个漏洞,远程用户可以访问和修改目标系统上的数据,或可以在目标系统上获得提升的权限,或导致目标系统上的拒绝服务,本次公告涉及到的安全漏洞较多,安全风险较高。

本次公告发布的漏洞影响范围如下:

Java 6 Update 151

Java 7 Update 141

Java 8 Update 131

漏洞编号:

CVE-2017-10053,CVE-2017-10067, CVE-2017-10074, CVE-2017-10078, CVE-2017-10081, CVE-2017-10086, CVE-2017-10087, CVE-2017-10089, CVE-2017-10090, CVE-2017-10096, CVE-2017-10101, CVE-2017-10102, CVE-2017-10104, CVE-2017-10105, CVE-2017-10107, CVE-2017-10108, CVE-2017-10109, CVE-2017-10110, CVE-2017-10111, CVE-2017-10114, CVE-2017-10115, CVE-2017-10116, CVE-2017-10117, CVE-2017-10118, CVE-2017-10121, CVE-2017-10125, CVE-2017-10135, CVE-2017-10145, CVE-2017-10176, CVE-2017-10193, CVE-2017-10198, CVE-2017-10243

漏洞名称:

Java多个安全漏洞

官方评级:

高危

漏洞描述:

Oracle Java SE公告中报告了多个漏洞,具体参见如下:

远程用户可以利用AWT组件中的缺陷获得提升的权限[CVE-2017-10110]

远程用户可以利用ImageIO组件中的缺陷获得提升的权限[CVE-2017-10089]

远程用户可以利用JavaFX组件中的缺陷获得提升的权限[CVE-2017-10086]

远程用户可以利用JAXP组件中的缺陷获得提升的权限[CVE-2017-10096]

远程用户可以利用JAXP组件中的缺陷获得提升的权限[CVE-2017-10101]

远程用户可以利用库组件中的缺陷获得提升的权限[CVE-2017-10087,CVE-2017-10090,CVE-2017-10111]

远程用户可以利用RMI组件中的缺陷获得提升的权限[CVE-2017-10107,CVE-2017-10102]

远程用户可以利用JavaFX组件中的缺陷获得提升的权限[CVE-2017-10114]

远程用户可以利用热点组件中的缺陷获得提升的权限[CVE-2017-10074]

远程用户可以利用Security组件中的缺陷获得提升的权限[CVE-2017-10116]

远程验证的用户可以利用脚本组件中的缺陷来访问和修改数据[CVE-2017-10078]

远程用户可以利用安全组件中的缺陷获得提升的权限[CVE-2017-10067]

远程用户可以利用JCE组件中的缺陷来访问数据[CVE-2017-10115,CVE-2017-10118]

远程用户可以利用Security组件中的缺陷来访问数据[CVE-2017-10176]

远程身份验证的用户可以利用服务器组件中的缺陷部分访问数据,部分修改数据,部分拒绝服务[CVE-2017-10104,CVE-2017-10145]

本地用户可以利用部署组件中的缺陷获得提升的权限[CVE-2017-10125]

远程用户可以利用Security组件中的缺陷来访问数据[CVE-2017-10198]

远程用户可以利用JAX-WS组件中的缺陷部分访问数据并导致部分拒绝服务条件[CVE-2017-10243]

远程用户可以利用服务器组件中的缺陷部分访问并部分修改数据[CVE-2017-10121]

远程用户可以利用JCE组件中的缺陷来访问数据[CVE-2017-10135]

远程用户可以利用服务器组件中的缺陷部分访问数据[CVE-2017-10117]

远程用户可以利用2D组件中的缺陷导致部分拒绝服务条件[CVE-2017-10053]

远程用户可以利用序列化组件中的缺陷导致部分拒绝服务条件[CVE-2017-10108,CVE-2017-10109]

远程用户可以利用部署组件中的缺陷部分修改数据[CVE-2017-10105]

远程用户可以利用Hotspot组件中的缺陷部分修改数据[CVE-2017-10081]

漏洞利用条件和方式:

远程利用或本地利用。

漏洞检测:

开发人员自查java版本是否在受影响版本内。

漏洞修复建议(或缓解措施):

目前官网已经发布最新版本修复该漏洞,用户可以更新到Java 8 Update 141。

情报来源:

Oracle官方公告:http://www.oracle.com/technetwork/security-advisory/cpujul2017-3236622.html

http://www.securitytracker.com/id/1038931

      华云数据集团有限公司

      二零一七年七月