甲骨文10月更新的主要產品類別
| ● Java SE ● MySQL資料庫 ● 甲骨文Linux ● Fushion中介軟體 ● 電子化商務套裝軟體 (E-Business Suite) |
● 供應鏈軟體 ● 電子商務軟體 ● 零售商務套裝軟體 ● 人資管理系統 ● 企業學習管理系統 ● 銀行管理系統 |
甲骨文於10月15日釋出了Java的安全性修補。為了更快速因應層出不窮的Java安全性漏洞,這是甲骨文首次將Java安全性更新放進每一季的CPU(Critical Patch Update)常態更新時程,將以往Java安全性更新周期,從4個月一次,加快到每3個月更新一次,正式與其他產品的更新周期同步化。
甲骨文於此次更新中,修復了包含Java、MySQL資料庫、Fusion中介軟體、Oracle Linux和其他甲骨文產品總共127個安全性問題。在這些更新中,有51項更新屬於Java SE(Standard Edition)7,其中許多漏洞能讓駭客在遠端不經驗證就入侵使用者電腦,而某些嚴重漏洞,更能讓駭客完全控制受害者電腦的作業系統層,並被甲骨文標記為高安全風險。這些漏洞多是發生在用戶端的Java Applet或Java Web Start Application,然而,也有存在於伺服器上的安全性漏洞。
而在這一批更新當中,甲骨文也修復了提供Javadoc工具(建立API文件的HTML格式輔助程式)服務的網站漏洞,以及能讓程式開發員分析Java堆疊(Heap)的jhat程式上的安全性弱點。
除了Java SE 7,甲骨文也同步釋出了舊版Java 6及Java 5的更新,因甲骨文已終止Java 5和Java 6的公開支援,因此這些更新將不再提供給一般企業或使用者,而只提供給額外與甲骨文簽訂契約,延長服務期限的客戶下載。
除了Java SE之外,資料庫伺服器也存在安全性漏洞
而除了解決Java SE上的問題,甲骨文也修復了資料庫伺服器上的安全性漏洞。修補之前的弱點,能讓駭客在未經授權的情形下竊取伺服器中的資料。甲骨文軟體品質保證部(Software Assurance)總監Eric Maurice在官網上表示,其中之一的漏洞若未及時修補,會讓使用者和伺服器在未經加密的網路(如公共區域的Wi-Fi)交換訊息時,暴露於遭駭客竊聽的危險之中。
聖藍科技執行長王建興表示,更新前的Java在OS層的漏洞相當危險,可以讓駭客獲得管理員權限、盜取使用者密碼,並且竊取企業的機密資料,「形同能讓駭客直接遠端登入系統」,王建興說。因此,他呼籲企業檢視所有安裝了JVM(Java Virtual Machine)的電腦,若發現有未更新的情況,應盡快進行更新。
王建興也同時表示,先前甲骨文並未將Java的底層開發、維護、修補更新的周期與其他產品同步,可能是因為甲骨文在併購了昇陽電腦(Sun Microsystems)之後,需要時間將Java的人力、資源配置融入既有的產品組合中。
此外,也由於Java仍存在著不少安全性漏洞,更快的更新周期能讓客戶更頻繁地檢視Java的安全性,並且即時取得Java安全性更新。而Java和其他產品的同步更新,也能讓企業一次性地檢查甲骨文的系列產品,而不必在周期性的CPU之外另外查看Java的更新,對企業來說是好事一件。
此外,甲骨文雖然有部分產品,如資料庫管理控制臺(Database Management Console)、Java網站伺服器等,是以Java為基礎建構而成,然而王建興卻認為,使用者只要修補了底層的JVM上的漏洞,就不必擔心這些產品上的安全性問題。文⊙楊智傑
熱門新聞
2025-12-12
2025-12-16
2025-12-15
2025-12-15
2025-12-15
2025-12-15
2025-12-16
2025-12-15
Advertisement