主题
安全性
Oracle Java SE 重要补丁更新公告 — 2011 年 6 月
说明
重要补丁更新是针对多个安全漏洞的补丁集合。这个 Java SE 重要补丁更新还包含非安全性修复程序。重要补丁更新是累积式的,每个公告只描述自上一个重要补丁更新以来添加的安全修复程序。因此,要了解有关以前累积的安全修复程序的信息,应该查看以前的重要补丁更新公告。请参见:
重要补丁更新和安全警报,获得有关 Oracle 安全公告的信息。
考虑到攻击得逞所带来的威胁,Oracle 强烈建议用户尽快应用 CPU 修复程序。该重要补丁更新包含涉及所有 Java SE 产品的 17 个新安全修复程序。
受影响的支持产品
该重要补丁更新所解决的安全漏洞影响以下按类别列出的产品。请单击“可用补丁”列中或可用补丁表中的链接,查看这些补丁的文档。
受影响的产品和版本:
| Java SE | 可用补丁 |
|---|---|
| JDK 和 JRE 6 Update 25 以及更低版本 | Java SE |
| JDK 5.0 Update 29 以及更低版本 | Java SE |
| SDK 1.4.2_31 以及更低版本 | Java SE |
可用补丁表与风险表
该更新中的 Java SE 修复程序是累积式的;最新的重要补丁更新包括自上一重要补丁更新以来的所有修复程序。
可用补丁表
| 产品分组 | 风险表 | 可用补丁和安装信息 |
|---|---|---|
| Java SE | Java SE |
|
风险表内容
风险表只列出与公告涉及到的补丁新修复的安全漏洞。之前的安全修复程序的风险表包含在之前的重要补丁更新公告中。
该重要补丁更新提出的几个漏洞影响着多个产品。
安全漏洞使用 CVSS 2.0 版进行评估(请参阅用于解释 Oracle 如何应用 CVSS 2.0 的 Oracle CVSS 评估系统)。Oracle 对重要补丁更新 (CPU) 解决的各个安全漏洞进行了分析。Oracle 不公开有关安全性分析的信息,但会在生成的风险表和相关文档中提供有关漏洞类型、利用漏洞所需的条件以及利用得逞的可能结果的信息。Oracle 部分地提供了这些信息,以便客户可以根据他们产品使用的特殊性分析自己的风险。出于政策方面的原因,Oracle 不会透露有关可能会导致漏洞利用得逞的利用条件或结果的详细信息。Oracle 不提供除 CPU 或安全警报通知、可用补丁表、自述文件和常见问题解答所提供信息以外的其他具体漏洞信息。Oracle 不向个别客户提供有关 CPU 或安全警报的预先通知。最后,Oracle 不会针对产品漏洞发布可利用的入侵代码或“验证性”代码。
变通方法
考虑到攻击得逞所带来的威胁,Oracle 强烈建议客户尽快应用 CPU 修复程序。如果不应用 CPU 修复程序,则无法通过限制攻击所需的网络协议来降低攻击得逞的风险。对于需要特定权限或者需要访问特定程序包的攻击,删除无特权用户的权限或者使其无法访问这些程序包可能有助于降低攻击得逞的风险。这两种方法都有可能损害应用程序功能,因此 Oracle 强烈建议客户在非生产系统上测试更改。这两种方法都不能更正底层问题,因此都不能作为长期解决方案。
漏掉的重要补丁更新
Oracle 强烈建议客户尽快应用修复程序。对于漏掉了一个或多个安全公告的客户,请查看之前的公告以确定要采取的行动。
不受支持的产品和版本
没有对不受支持的产品和版本测试过是否存在该重要补丁更新提出的安全漏洞。但是,很可能受影响的版本的那些早期版本也会受这些安全漏洞的影响。因此,Oracle 建议客户将其 Oracle 产品升级至受支持的版本。
对于不再支持的产品版本,未提供重要补丁更新补丁。我们建议客户升级至最新的受支持的 Oracle 产品版本,以获取补丁。
致谢声明
该重要补丁更新修复的安全漏洞由以下人员或组织向 Oracle 报告:TippingPoint 的零时差项目的匿名报告者;binaryproof,通过 iDefense;binaryproof,通过 Tipping Point;Chris Ries,通过 Tipping Point;Fujitsu 实验室的 Hisashi Kojima,通过 JPCERT/CC;iDefense;Red Hat 的 Marc Schoenefeld;TippingPoint DVLabs 的 Peter Vreugdenhil;Harmony Security 的 Stephen Fewer,通过 Tippingpoint。
Oracle Java SE 重要补丁更新日程表
Oracle Java SE 重要补丁更新接下来的三个更新日期为:
- 2011 年 10 月 18 日
- 2012 年 2 月 14 日
- 2012 年 6 月 12 日
参考资料
- Oracle 重要补丁更新和安全警报主页 [ Oracle 技术网 ]
- Oracle 重要补丁更新和安全警报 — 常见问题解答 [ CPU 常见问题解答 ]
- 风险表定义 [ 风险表定义 ]
- 使用常见漏洞评估系统 (CVSS),Oracle [ Oracle CVSS 评估 ]
- 风险表的英语文本版本 [ Oracle 技术网 ]
- 以前的 Java SE 安全更新安全公告 [ Java Sun 警报存档页面 ]
修改记录
| 日期 | 注释 |
|---|---|
| 2011 年 6 月 7 日 | 修订版 1 初始版本 |
附录 — Oracle Java SE
Oracle Java SE 执行概要
该重要补丁更新包含 17 个针对 Oracle Java SE 的新安全修复程序,其中 5 个适用于 Java SE 的客户端和服务器部署,11 个仅适用于 Java SE 的客户端部署,1 个仅适用于 Java SE 的服务器部署。所有这些漏洞无需身份验证即可远程利用,即可以通过网络使用该漏洞而无需用户名和口令。 以下 CVSS 评分假定运行 Java 小程序或 Java Web Start 应用程序的用户拥有管理员权限(这是 Windows 上的典型情况)。如果用户未以管理员权限运行(Solaris 和 Linux 的典型情况),则对机密性、完整性以及可用性的对应 CVSS 评分的影响是“部分”而非“全”,并且对应的 CVSS 基本评分分别为 7.5,而不是 10。 对于部署中的问题,仅提供了针对 JDK 和 JRE 6 的修复程序。用户应使用 JRE 6 中的 Java Web Start 以及 6 Update 10 中引入的 Java 新插件。
My Oracle Support 说明 360870.1 解释了 Java 安全漏洞对包括 Oracle Java SE JDK 或 JRE 的 Oracle 产品的影响。
Oracle Java SE 风险表
注:
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Printer View