圖片來源: 

Oracle

兩周來眾軟、硬體及雲端業者修補上周爆發的Meltdown和Spectre漏洞,甲骨文一直保持沈默,不過周二甲骨文終於釋出重大更新來修補,包括出現Spectre漏洞的x86伺服器。
 
本周釋出的2018年1月重大更新包含237項修補程式,以修補甲骨文產品中包括Meltdown及Spectre在內的漏洞。受影響產品包括甲骨文應用、中介軟體、資料庫及硬體,包括Solaris、Oracle供應鏈應用、Financial Service、Fusion Middleware、虛擬化產品Oracle VM VirtualBox、零售業應用、PeopleSoft、Siebel、JD Edwards、Hyperion、資料庫軟體、Java SE 、Java SE、MySQL,以及Oracle X86伺服器BIOS、Sun ZFS 儲存裝置套件等。
 
值得注意的是,本次更新修補了Oracle x86伺服器BIOS中的CVE-2017-5715漏洞,為Spectre中的「分支目標注入」(Branch Target Injection)。Oracle OS及Oracle VM的CVE-2017-5715修補程式已包含更新版英特爾處理器微碼。而只有執行非Oracle OS和VM軟體的Oracle x86伺服器才需要安裝韌體層修補程式以取得新版微碼。
 
甲骨文表示,釋出修補程式後,仍持續接到漏洞遭惡意開採的用戶通報,有些甚至因為客戶未安裝修補程式而被駭客成功入侵。因此該公司強烈建議用戶應立即安裝修補程式。
 
The Register則報導,甲骨文只對客戶公開的文件中談到Sparc v9晶片架構上某些版本Oracle Solaris作業系統也受到Spectre影響。
 
文件指出該公司正在製作修補程式,等完成後將提供給購買付費支援服務的客戶,但未說明明確時程。甲骨文指出會研究修補程式對效能的影響,建議客戶不要安裝不受信賴的程式,同時限縮有權限安裝及執行程式碼的使用者人數,檢查log是否有不正常的活動行為。
 
甲骨文則表示,Solaris on Sparc v9 不受Meltdown影響。


Advertisement

更多 iThome相關內容