Oracle 修复 MySQL、Java 等产品的严重漏洞

近日，甲骨文发布2015年10月的 Critical Patch Update（简称“CPU”），修复了154个漏洞，其中8个在 Oracle Database Server，30 个在 MySQL，25个在 Java SE。甲骨文的软件安全总监 Eric Maurice 在博客写到，这次的修复包括了“非常严重的漏洞”，幸运的是还没被利用。

在 Oracle Database 的漏洞中，7个属于 Oracle Database Server，1个属于 Oracle Database Mobile/Lite Server。最严重的一个在 Oracle Database Server 的 Portable Clusterware 组件，它的 CVSS 基本评分为10.0。这意味着 bug 无需用户名和密码，就可以被通过网络远程利用，导致目标系统妥协。另外三个重大漏洞，CVSS 基本评分为9.0，会影响到Database Scheduler 和 Java VM 组件。

甲骨文同时还修复了 MySQL 数据库的30个安全漏洞，2个可以在没有认证的情况下被远程利用。最严重的一个漏洞会影响到 MySQL Enterprise Monitor 组件，这个组件在管理员和 root-level 权限下运行，会导致整个目标系统被接管。

这次发布的 “CPU” 对 Java 来说更为重要，共修复了的25个漏洞，其中24个可被用于远程执行。7个在 Java SE 和 Java SE Embedded 6－8 版本的漏洞，CVSS 基本评分为 10.0。这些漏洞出现在多个库和子组件里，包括 CORBA，RMI，Serialization 和 2D，只适用于 Java 客户端。他们可以被经过沙盘的 Java Web Start 应用和 Java applets 所利用。

还有20个漏洞是基于浏览器的。甲骨文表示，用户应该只使用最新的 JDK 或 JRE 7 和 8 发布的默认的 Java 插件和 Java Web Start 。

甲骨文建议用户尽快使用此次发布的安全补丁。按照日程，下一次更新将在2016年1月19日。

编译自：infoworld.com