新一季的甲骨文关键补丁更新(CPU)已经发布,此次更新包括 127 个安全补丁,其中有 51 个为 Java 补丁,这次的补丁数确实不少。
这也是 Java 第一次与其他甲骨文产品一起进行补丁修复,此前,Java 补丁每四个月才更新一次。这次一同更新补丁的甲骨文产品,包括电子商务套件(E-Business Suite)、MySQL 和 Primavera 产品套件。
甲骨文十月份的 CPU 发布包含了对各种软件应用的修复,而且基本上都是与企业服务器相关的产品系列:
·Oracle 数据库
·甲骨文融合中间件
·Oracle 企业管理器
·Oracle 应用——电子商务套件
·Oracle 应用——甲骨文供应链(Oracle Supply Chain)、PeopleSoft、Siebel 和 iLearning 企业产品套件
·甲骨文 FLEXCUBE 产品套件
·甲骨文健康科学的产品套件
·甲骨文零售产品套件
·甲骨文 Primavera 产品套件
·甲骨文 Java
·甲骨文 MySQL
可以说,在这次的漏洞补丁更新中,考虑到世界各地使用 Java 软件的广大消费者,最重要的更新是 Java 补丁更新。除了专为 Java 推出的 51 个修复补丁,还有 50 个与 Java 小应用程序和 Java WebStart 相关的补丁。许多安全专家认为,尽管 Java 是个有用的应用,但用户应该禁用自己浏览器中的这个软件,毕竟它代表着一个不变的安全风险。
令人担忧的是,本次更新的补丁中,有 12 个正被修补的漏洞属于高危漏洞,在 CVSSv2 标准下被鉴定为 10 分,这意味着这些漏洞是可以被别人利用的,意味着其他人不需要身份验证就可以通过网络访问你的电脑。正如云安全公司 Qualys 首席技术官沃尔夫冈·坎迪克(Wolfgang Kandek)给用户的警告一样。
坎迪克写道:
“大多数漏洞都集中在 Java 客户端,也就是在台式机或笔记本电脑部署时,最常见的攻击媒介是网页浏览和恶意网页,但是有两个非常关键的漏洞 CVE-2013-5782 和 CVE-2013-5830,也适用于服务器安装。你需要尽快在你的台式和笔记本电脑中安装最新版 Java 7 update 45 更新。”
虽然有些版本的 Java 会自动更新,但有些 Java 并不会自动更新,因此检查一下您的操作系统运行哪个版本的 Java 是很值得的。尽管有些混乱,甲骨文“强烈建议用户尽快使用 CPU 修复漏洞。”
英国安全公司 Sophos 高级安全顾问切斯特·维斯尼奥斯基(Chester Wisniewski)评论道:
“如果你的名声本来就很差,又向十亿以上用户暴露了你的漏洞,那么你就需要更快地做出回应了。微软和 Adobe 补丁都是每月一更新,加起来每季度平均更新的安全补丁还不到 50 个。甲骨文,是迎头赶上的时候了。”
甲骨文公司下一次的 CPU 更新将在 2014 年 1 月 14 日发布。