Oracle Java SE 重要补丁更新公告 — 2013 年 4 月
说明
重要补丁更新是针对多个安全漏洞的补丁集合。这个 Java SE 重要补丁更新还包含非安全性修复程序。重要补丁更新是累积式的,每个公告只描述自上一个重要补丁更新和安全警报以来添加的安全修复程序。因此,要了解有关以前累积的安全修复程序的信息,应该查看以前的重要补丁更新公告和安全警报。请参见:
重要补丁更新和安全警报,获得有关 Oracle 安全公告的信息。
考虑到攻击得逞所带来的威胁,Oracle 强烈建议客户尽快应用 CPU 修复程序。 该重要补丁更新包含 Java SE 产品上的 42 个新安全修复程序,其中 2 个适用于 Java 服务器部署。
受影响的支持产品
该重要补丁更新所解决的安全漏洞影响以下按类别列出的产品。请单击“可用补丁”列中或可用补丁表中的链接,查看这些补丁的文档。
受影响的产品和版本:
| Java SE | 可用补丁
|
| JDK 和 JRE 7 Update 17 及早期版本 | Java SE |
| JDK 和 JRE 6 Update 43 及早期版本 | Java SE |
| JDK 和 JRE 5.0 Update 41 及早期版本 | Java SE |
| JavaFX 2.2.7 及早期版本 | JavaFX |
可用补丁表与风险表
该更新中的 Java SE 修复程序是累积式的;最新的重要补丁更新包括自上一重要补丁更新和安全警报以来的所有修复程序。
可用补丁表 风险表只列出与公告涉及到的补丁新修复的安全漏洞。之前的安全修复程序的风险表包含在之前的重要补丁更新公告中。
安全漏洞使用 CVSS 2.0 版进行评估(请参阅用于解释 Oracle 如何应用 CVSS 2.0 的 Oracle CVSS 评估系统)。Oracle 对重要补丁更新 (CPU) 解决的各个安全漏洞进行了分析。Oracle 不公开有关安全性分析的信息,但会在生成的风险表和相关文档中提供有关漏洞类型、利用漏洞所需的条件以及利用得逞的可能结果的信息。Oracle 部分地提供了这些信息,以便客户可以根据他们产品使用的特殊性分析自己的风险。出于政策方面的原因,Oracle 不会透露有关可能会导致漏洞利用得逞的利用条件或结果的详细信息。Oracle 不提供除 CPU 或安全警报通知、可用补丁文档、自述文件和常见问题解答所提供信息以外的其他具体漏洞信息。Oracle 不向个别客户提供有关 CPU 或安全警报的预先通知。最后,Oracle 不会针对产品漏洞发布可利用的入侵代码或“验证性”代码。
解决方法
考虑到攻击得逞所带来的威胁,Oracle 强烈建议客户尽快应用 CPU 修复程序。如果不应用 CPU 修复程序,则无法通过限制攻击所需的网络协议来降低攻击得逞的风险。对于需要特定权限或者需要访问特定程序包的攻击,删除无特权用户的权限或者使其无法访问这些程序包可能有助于降低攻击得逞的风险。这两种方法都有可能损害应用程序功能,因此 Oracle 强烈建议客户在非生产系统上测试更改。这两种方法都不能更正底层问题,因此都不能作为长期解决方案。
漏掉的重要补丁更新
Oracle 强烈建议客户尽快应用这些修复程序。对于漏掉了一个或多个安全公告的客户,请查看之前的公告以确定要采取的行动。
不受支持的产品和版本
没有对不受支持的产品和版本测试过是否存在该重要补丁更新提出的安全漏洞。但是,很可能受影响的版本的那些早期版本也会受这些安全漏洞的影响。
对于不再支持的产品版本,未提供重要补丁更新补丁。我们建议客户升级至最新的受支持的 Oracle 产品版本,以获取补丁。
致谢声明
该重要补丁更新修复的安全漏洞由以下人员或组织向 Oracle 报告:Security Explorations 的 Adam Gowdiak;SEC Consult 的 Alexander Antukh;Alin Rad Pop (binaryproof) 通过 HP 的零时差计划;一位匿名研究人员通过 Beyond Security 的 SecuriTeam Secure Disclosure 计划;Ben Murphy 通过 HP 的 ZDI;Aware Mobile 的 Ben Murphy 通过 HP 的零时差计划;Chris Ries 通过 iDefense;Hontvári Attila;James Forshaw (tyranid) 通过 HP 的零时差计划;Jeroen Frijters;Accuvant LABS 的 Joshua J. Drake 通过 HP 的零时差计划;Vitaliy Toropov 通过 HP 的零时差计划;Vitaliy Toropov 通过 iDefense;以及 VUPEN Security 通过 HP 的零时差计划。
深度安全贡献者
Oracle 向那些为我们的深度安全计划作出贡献的人表示感谢(参见常见问题解答)。对于导致在以后版本中大量修改 Oracle 代码或文档但是严重程度不足以归类到重要补丁更新中的安全漏洞问题,如果有人提供相关的信息、发现或建议,则会因为深度安全作出贡献而受到褒奖。
在此重要补丁更新公告中,Oracle 向以下为 Oracle 深度安全计划作出贡献的人们表示感谢:Christian Schneider;Red Hat 的 Deepak Bhole;Positive Technologies 的 Denis Gorchakov;Jeroen Frijters;Mark Baggett;United American Insurance Company 的 Timothy McKenzie;Red Hat 的 Tomas Hoger;以及 CERT/CC 的 Will Dormann。
Oracle Java SE 重要补丁更新日程表
Oracle Java SE 重要补丁更新接下来的四个更新日期为:
- 2013 年 6 月 18 日
- 2013 年 10 月 15 日
- 2014 年 1 月 14 日
- 2014 年 4 月 15 日
参考资料
修改记录
| 日期 | 注释 |
| 2013 年 4 月 16 日 | 修订版 1。初始版本 |
附录 — Oracle Java SE
Oracle Java SE 执行概要 该重要补丁更新包含 42 个适用于 Oracle Java SE 的新安全修复程序。其中 39 个漏洞无需身份验证即可远程利用,即可以通过网络使用这些漏洞而无需用户名和口令。在此可获取此风险表的英语文本形式。 以下 CVSS 评分假定运行 Java 小程序或 Java Web Start 应用程序的用户拥有管理员权限(这是 Windows 上的典型情况)。如果用户未以管理员权限运行(Solaris 和 Linux 的典型情况),则对机密性、完整性以及可用性的对应 CVSS 评分的影响是“部分”而非“全”,降低了 CVSS 基本评分。例如,基本评分 10.0 变成 7.5。 用户应使用最新 JDK 和 JRE 7 中的默认 Java 插件和 Java Web Start。 My Oracle Support 说明 360870.1 解释了 Java 安全漏洞对包括 Oracle Java SE JDK 或 JRE 的 Oracle 产品的影响。
Oracle Java SE 风险表
| 漏洞号 | 组件 | 协议 | 子组件 | 无需身份验证即可远程利用? | CVSS 版本 2.0 风险(参阅风险表定义) | 受影响的支持版本 | 说明 | | 基本评分 | 访问途径 | 访问复杂性 | 身份验证 | 机密性 | 完整性 | 可用性 | CVE-2013-2383 | Java Runtime Environment | 多个 | 2D | 是 | 10.0 | 网络 | 低 | 无 | 全 | 全 | 全 | 7 Update 17 及早期版本、6 Update 43 及早期版本、5.0 Update 41 及早期版本 | 参见注释 1 | CVE-2013-2384 | Java Runtime Environment | 多个 | 2D | 是 | 10.0 | 网络 | 低 | 无 | 全 | 全 | 全 | 7 Update 17 及早期版本、6 Update 43 及早期版本、5.0 Update 41 及早期版本 | 参见注释 1 | CVE-2013-1569 | Java Runtime Environment | 多个 | 2D | 是 | 10.0 | 网络 | 低 | 无 | 全 | 全 | 全 | 7 Update 17 及早期版本、6 Update 43 及早期版本、5.0 Update 41 及早期版本 | 参见注释 1 | CVE-2013-2434 | Java Runtime Environment | 多个 | 2D | 是 | 10.0 | 网络 | 低 | 无 | 全 | 全 | 全 | 7 Update 17 及早期版本、JavaFX 2.2.7 及早期版本 | 参见注释 1 | CVE-2013-2432 | Java Runtime Environment | 多个 | 2D | 是 | 10.0 | 网络 | 低 | 无 | 全 | 全 | 全 | 7 Update 17 及早期版本、6 Update 43 及早期版本、5.0 Update 41 及早期版本、JavaFX 2.2.7 及早期版本 | 参见注释 1 | CVE-2013-2420 | Java Runtime Environment | 多个 | 2D | 是 | 10.0 | 网络 | 低 | 无 | 全 | 全 | 全 | 7 Update 17 及早期版本、6 Update 43 及早期版本、5.0 Update 41 及早期版本 | 参见注释 1 | CVE-2013-1491 | Java Runtime Environment | 多个 | 2D | 是 | 10.0 | 网络 | 低 | 无 | 全 | 全 | 全 | 7 Update 17 及早期版本、6 Update 43 及早期版本、5.0 Update 41 及早期版本、JavaFX 2.2.7 及早期版本 | 参见注释 1 | CVE-2013-1558 | Java Runtime Environment | 多个 | Bean | 是 | 10.0 | 网络 | 低 | 无 | 全 | 全 | 全 | 7 Update 17 及早期版本、6 Update 43 及早期版本 | 参见注释 1 | CVE-2013-2440 | Java Runtime Environment | 多个 | 部署 | 是 | 10.0 | 网络 | 低 | 无 | 全 | 全 | 全 | 7 Update 17 及早期版本、6 Update 43 及早期版本 | 参见注释 1 | CVE-2013-2435 | Java Runtime Environment | 多个 | 部署 | 是 | 10.0 | 网络 | 低 | 无 | 全 | 全 | 全 | 7 Update 17 及早期版本、6 Update 43 及早期版本 | 参见注释 1 | CVE-2013-2431 | Java Runtime Environment | 多个 | Hotspot | 是 | 10.0 | 网络 | 低 | 无 | 全 | 全 | 全 | 7 Update 17 及早期版本 | 参见注释 1 | CVE-2013-2425 | Java Runtime Environment | 多个 | Install | 是 | 10.0 | 网络 | 低 | 无 | 全 | 全 | 全 | 7 Update 17 及早期版本 | 参见注释 1 | CVE-2013-1518 | Java Runtime Environment | 多个 | JAXP | 是 | 10.0 | 网络 | 低 | 无 | 全 | 全 | 全 | 7 Update 17 及早期版本、6 Update 43 及早期版本、5.0 Update 41 及早期版本 | 参见注释 1 | CVE-2013-2414 | Java Runtime Environment | 多个 | JavaFX | 是 | 10.0 | 网络 | 低 | 无 | 全 | 全 | 全 | 7 Update 17 及早期版本、JavaFX 2.2.7 及早期版本 | 参见注释 1 | CVE-2013-2428 | Java Runtime Environment | 多个 | JavaFX | 是 | 10.0 | 网络 | 低 | 无 | 全 | 全 | 全 | 7 Update 17 及早期版本、JavaFX 2.2.7 及早期版本 | 参见注释 1 | CVE-2013-2427 | Java Runtime Environment | 多个 | JavaFX | 是 | 10.0 | 网络 | 低 | 无 | 全 | 全 | 全 | 7 Update 17 及早期版本、JavaFX 2.2.7 及早期版本 | 参见注释 1 | CVE-2013-2422 | Java Runtime Environment | 多个 | 库 | 是 | 10.0 | 网络 | 低 | 无 | 全 | 全 | 全 | 7 Update 17 及早期版本、6 Update 43 及早期版本 | 参见注释 1 | CVE-2013-1537 | Java Runtime Environment | 多个 | RMI | 是 | 10.0 | 网络 | 低 | 无 | 全 | 全 | 全 | 7 Update 17 及早期版本、6 Update 43 及早期版本、5.0 Update 41 及早期版本 | 参见注释 2 | CVE-2013-1557 | Java Runtime Environment | 多个 | RMI | 是 | 10.0 | 网络 | 低 | 无 | 全 | 全 | 全 | 7 Update 17 及早期版本、6 Update 43 及早期版本、5.0 Update 41 及早期版本 | 参见注释 1 | CVE-2013-2421 | Java Runtime Environment | 多个 | HotSpot | 是 | 9.3 | 网络 | 中 | 无 | 全 | 全 | 全 | 7 Update 17 及早期版本 | 参见注释 1 | CVE-2013-0402 | Java Runtime Environment | 多个 | JavaFX | 是 | 9.3 | 网络 | 中 | 无 | 全 | 全 | 全 | 7 Update 17 及早期版本、JavaFX 2.2.7 及早期版本 | 参见注释 1 | CVE-2013-2426 | Java Runtime Environment | 多个 | 库 | 是 | 9.3 | 网络 | 中 | 无 | 全 | 全 | 全 | 7 Update 17 及早期版本 | 参见注释 1 | CVE-2013-2436 | Java Runtime Environment | 多个 | 库 | 是 | 9.3 | 网络 | 中 | 无 | 全 | 全 | 全 | 7 Update 17 及早期版本 | 参见注释 1 | CVE-2013-1488 | Java Runtime Environment | 多个 | 库 | 是 | 9.3 | 网络 | 中 | 无 | 全 | 全 | 全 | 7 Update 17 及早期版本 | 参见注释 1 | CVE-2013-2394 | Java Runtime Environment | 多个 | 2D | 是 | 7.6 | 网络 | 高 | 无 | 全 | 全 | 全 | 7 Update 17 及早期版本、6 Update 43 及早期版本、5.0 Update 41 及早期版本、JavaFX 2.2.7 及早期版本 | 参见注释 1 | CVE-2013-2430 | Java Runtime Environment | 多个 | ImageIO | 是 | 7.6 | 网络 | 高 | 无 | 全 | 全 | 全 | 7 Update 17 及早期版本、6 Update 43 及早期版本、5.0 Update 41 及早期版本、JavaFX 2.2.7 及早期版本 | 参见注释 1 | CVE-2013-2429 | Java Runtime Environment | 多个 | ImageIO | 是 | 7.6 | 网络 | 高 | 无 | 全 | 全 | 全 | 7 Update 17 及早期版本、6 Update 43 及早期版本、5.0 Update 41 及早期版本 | 参见注释 1 | CVE-2013-1563 | Java Runtime Environment | 多个 | Install | 是 | 7.6 | 网络 | 高 | 无 | 全 | 全 | 全 | 7 Update 17 及早期版本、6 Update 43 及早期版本、JavaFX 2.2.7 及早期版本 | 参见注释 1 | CVE-2013-2439 | Java Runtime Environment | 无 | Install | 否 | 6.9 | 本地 | 中 | 无 | 全 | 全 | 全 | 7 Update 17 及早期版本、6 Update 43 及早期版本、5.0 Update 41 及早期版本、JavaFX 2.2.7 及早期版本 | 参见注释 1 | CVE-2013-0401 | Java Runtime Environment | 多个 | AWT | 是 | 5.8 | 网络 | 中 | 无 | 部分 | 部分 | 无 | 7 Update 17 及早期版本、6 Update 43 及早期版本、5.0 Update 41 及早期版本 | 参见注释 1 | CVE-2013-2419 | Java Runtime Environment | 多个 | 2D | 是 | 5.0 | 网络 | 低 | 无 | 无 | 无 | 部分 | 7 Update 17 及早期版本、6 Update 43 及早期版本、5.0 Update 41 及早期版本 | 参见注释 1 | CVE-2013-2424 | Java Runtime Environment | 多个 | JMX | 是 | 5.0 | 网络 | 低 | 无 | 部分 | 无 | 无 | 7 Update 17 及早期版本、6 Update 43 及早期版本、5.0 Update 41 及早期版本 | 参见注释 1 | CVE-2013-1561 | Java Runtime Environment | 多个 | JavaFX | 是 | 5.0 | 网络 | 低 | 无 | 部分 | 无 | 无 | 7 Update 17 及早期版本、JavaFX 2.2.7 及早期版本 | 参见注释 1 | CVE-2013-1564 | Java Runtime Environment | 多个 | JavaFX | 是 | 5.0 | 网络 | 低 | 无 | 无 | 部分 | 无 | 7 Update 17 及早期版本、JavaFX 2.2.7 及早期版本 | 参见注释 1 | CVE-2013-2438 | Java Runtime Environment | 多个 | JavaFX | 是 | 5.0 | 网络 | 低 | 无 | 无 | 部分 | 无 | 7 Update 17 及早期版本 | 参见注释 1 | CVE-2013-2417 | Java Runtime Environment | 多个 | 联网 | 是 | 5.0 | 网络 | 低 | 无 | 无 | 无 | 部分 | 7 Update 17 及早期版本、6 Update 43 及早期版本、5.0 Update 41 及早期版本 | 参见注释 1 | CVE-2013-2418 | Java Runtime Environment | 无 | 部署 | 否 | 4.6 | 本地 | 低 | 无 | 部分 | 部分 | 部分 | 7 Update 17 及早期版本、6 Update 43 及早期版本 | 参见注释 3 | CVE-2013-2416 | Java Runtime Environment | 多个 | 部署 | 是 | 4.3 | 网络 | 中 | 无 | 无 | 部分 | 无 | 7 Update 17 及早期版本 | 参见注释 1 | CVE-2013-2433 | Java Runtime Environment | 多个 | 部署 | 是 | 4.3 | 网络 | 中 | 无 | 无 | 部分 | 无 | 7 Update 17 及早期版本、6 Update 43 及早期版本 | 参见注释 1 | CVE-2013-1540 | Java Runtime Environment | 多个 | 部署 | 是 | 4.3 | 网络 | 中 | 无 | 无 | 部分 | 无 | 7 Update 17 及早期版本、6 Update 43 及早期版本 | 参见注释 1 | CVE-2013-2423 | Java Runtime Environment | 多个 | Hotspot | 是 | 4.3 | 网络 | 中 | 无 | 无 | 部分 | 无 | 7 Update 17 及早期版本 | 参见注释 1 | CVE-2013-2415 | Java Runtime Environment | 无 | JAX-WS | 否 | 2.1 | 本地 | 低 | 无 | 部分 | 无 | 无 | 7 Update 17 及早期版本 | 参见注释 4 | 注: - 仅适用于 Java 的客户端部署。该漏洞仅可通过不受信任的 Java Web Start 应用程序和不受信任的 Java 小程序利用。(不受信任的 Java Web Start 应用程序和不受信任的小程序以有限权限运行在 Java 沙盒中。)
- 适用于 Java 的客户端和服务器部署。该漏洞可通过不受信任的 Java Web Start 应用程序和不受信任的 Java 小程序利用。它还可以通过向指定组件中的 API 提供数据而利用,无需使用不受信任的 Java Web Start 应用程序或不受信任的 Java 小程序,如通过 Web 服务。
- 仅适用于 Java 的客户端部署。只有通过使用 Java 启动器启动可执行程序才能利用该漏洞。
- 适用于 Java 的客户端和服务器部署。不受信任的小程序和 Java Web Start 应用程序无法利用该问题。需要本地访问才能利用该问题。
|
主题
Printer View