甲骨文7月破紀錄修補334個安全漏洞

甲骨文於本周二（7/17）釋出的每季例行性重大修補更新（Critical Patch Update，CPU）修補了334個安全漏洞，超越了去年7月修補的308個漏洞，寫下歷史新紀錄。

甲骨文的每季修補規模之所以如此龐大是因為它涉及了甲骨文旗下的逾100種產品，在這334個安全漏洞中，有17%與金融服務應用有關、13%與Fusion Middleware有關，與零售應用及MySQL有關的漏洞也分別佔了9%。

應用程式安全業者Waratek表示，雖然此次甲骨文只修補了8個與Java SE相關的漏洞，但這8個漏洞全數允許駭客不需用戶憑證就能遠端開採。此外，即使Java SE的漏洞變少了，但有些修補程式可能會破壞特定應用程式的功能，因此在修補這些漏洞時必須先全面且謹慎地進行測試。

例如CVE-2018-2938是自JDK（Java SE Development Kit）中移除了有漏洞的Java DB元件，因此仰賴該元件的使用者必須手動取得最新的Apache Derby並重建應用。

甲骨文提醒，他們定期會收到駭客企圖攻陷某個甲骨文已修補的漏洞攻擊報告，有些成功攻擊的案例都是因為受害者並沒有部署甲骨文更新，因此強烈建議客戶應即時更新。

甲骨文的擔心不無道理，因為不少資安專家也有同樣的看法，不過他們將此事歸咎為甲骨文的更新規模太過龐大，使用者擔心更新程序會造成系統停擺，以致於拖慢更新速度。