甲骨文發佈四月重大修補程式更新,共修補包括Oracle Database、MySQL、Solaris、Java及EBusiness Suite、Solaris、PeopleSoft等產品的136項重大漏洞,呼籲用戶儘速升級到最新版本。
這次重大修補程式更新也是甲骨文首次使用該公司通用弱點評分標準(Common Vulnerability Scoring Standard,CVSS)3.0版。同時這次修補的數量也是僅次於一月的安全更新,當時破紀錄修補了248項漏洞。
本季MySQL 漏洞出現31項漏洞,是甲骨文所有產品之冠,包括4個可能遭遠端執行程式碼入侵的漏洞,並有2個CVSS分數高達9.8。
最核心產品Oracle Database修補5項漏洞,其中2個可能導致未授權的遠端程式碼執行,在無需用戶帳密情況下開採。針對Fusion Middle則修補22項漏洞,其中21項可允許未授權遠端程式碼執行,更有7項被甲骨文給予9.8的風險評分(滿分10分)。而Oracle E-Business Suite 7項漏洞中,有6項可能被駭客遠端執行入侵。
甲骨文提醒,由於Fusion Middleware產品必須在Oracle Database上執行,因此Database的漏洞也可能影響Fusion Middleware,而必須安裝前者的修補程式。同樣,Oracle E-Business Suite仰賴Fusion Middleware及Oracle Database,因此最好也安裝兩者的安全修補更新。
Java SE部份,甲骨文繼3月底緊急發佈修補程式,以修補存在於Windows、Soloaris、Linux、Macc OS X 版桌面瀏覽器中的Java SE漏洞 CVE-2016-0636後,本季則修補9項漏洞,甲骨文表示,這些漏洞全部都能被用於非授權遠端執行程式碼攻擊,其中4個被列入9以上的高風險等級。
此外,四月更新還修補18項Sun System的漏洞,其中12個可能被用於遠端執行程式碼攻擊,包括Solaris一個存在於RAM LDAP模組、CVSS風險分數9.8的高風險漏洞。其他修補的產品還包括Peoplesot、JD Edwards、Financial Services、Siebel、Retail Applications及Oracle Linux,其中PeoplesSoft此次也修補了多達15項漏洞,包括2項可被遠端執行程式碼攻擊的漏洞。
甲骨文下次重大修補程式更新預定在7月19日發佈。
資料來源:http://www.ithome.com.tw/