红色巨人终于为其x86设备上的230多个问题提供修复补丁。
甲骨文公司已经向其SPARC平台用户发布公告,表示其确实会受到Spectre处理器bug的影响。
在由甲骨文客户门户网站发布的一份技术支持文档当中,该公司指出:“甲骨文公司认为SPARCv9中的某些Oracle Solaris版本受到Spectre漏洞的影响。”
这份刚刚更新的文档确认称,“甲骨文公司正在为所有具备Premier Support或Extended Support支持服务的受影响版本开发修复补丁。”
甲骨文方面并没有提到这些更新的具体发布时间; 数据库巨头承诺将在“成功完成对补丁的测试后进行发布”。
这份文档进一步补充称,“甲骨文公司还将调查这些补丁对处理器性能造成的影响”,同时提醒客户“不要在受影响系统上安装不受信任的程序”,因为此类应用程序能够利用Spectre漏洞从易受攻击的计算机当中收集敏感信息。
文档指出,“甲骨文公司亦建议客户限制高权限用户(即有能力安装并运行代码)数量,并定期审查审计日志(以检测潜在的异常活动)。”
文档还澄清称,基于SPARCv9架构的Solaris处理器不存在Meltdown bug。
在确认SPARC Solaris处理器存在Spectre安全漏洞的同时,甲骨文公司也为其x86服务器发布了Meltdown/Spectre修复补丁。
这批修复补丁“面向Oracle OS与Oracle VM,用于解决CVE-2017-5715安全漏洞,其中包含经过更新的英特尔微代码”。不过有些奇怪的是,在此之前Oracle Linux与Oracle Virtualization已经收到了相关修复补丁。
我们就此事向甲骨文方面提出询问,但对方表示无可奉告。
我们还询问了甲骨文x86云的当前状况,并发现客户论坛上的一些文章指出部分用户接收消息,称为了保证基础设施免受Meltdown与Spectre的影响,相关服务即将中断。
另外发布200多项其它修复补丁
在红色巨人的季度补丁列表当中,我们发现了222项其它x86修复补丁的身影。
其中还包含一项重要性评级高达十星满分的补丁,甲骨文公司提醒Sun ZFS存储设备工具包用户这项漏洞有可能导致攻击者全面接管存储设备并找到由此侵入其它设备的路径。更可怕的是,允许实现无验证远程代码执行的修复补丁总量达到了惊人的135项。
其它高风险bug还将影响到Oracle WebLogic Server,其评级为9.9星(CVE-2017-10352),可能导致未授权用户通过HTTP令服务器陷入瘫痪。
甲骨文的Communications衣长中则拥有多项评分达9.8的bug,但其皆归属于Apache软件——而非源自甲骨文自家开发成果。事实上,甲骨文此次公布的修复补丁列表中21次提及Apache Log4j,这意味着CVE-2017-5645凭借一己之力贡献了百分之十的修复补丁比例。其它遗留问题还包括CVE-2017-5461(一项存在于NSS解码器中的bug,评分为9.8),其会影响到Oracle Directory Server企业版与iPlanet Web Server。
Micros MC40 Zebra Handheld单元的用户(这是一款供零售商用于扫描并使用磁条读取器进行支付的小工具)可能遭受蓝牙与WiFI网络攻击。截至本文完稿时,CVE-2018-2697的修复信息尚未公开,不过这里我们仍要作出说明——其会影响到Oracle Cruise Fleet Management应用的紧急响应系统。
Java用户也该忙活起来了,此次受到影响的包括Java SE与Java SE Embedded,外加Java ME SDK安装程序,所有相关bug的评分皆在7到8之间。
“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)
