Java 安全更新修复 19 个漏洞并禁用了 SSL 3.0

  • 李小兵

2015 年 1 月 28 日

话题:Java安全语言 & 开发架构

近日,Oracle 发布本季度重要的补丁更新,本次更新共修复了 169 个安全问题,这些问题涉及到了 Oracle 全系列产品,其中关于 Java 的安全更新就有 19 个漏洞的修复以及对 SSL 3.0 安全协议默认支持的禁用,这是因为 SSL 3.0 安全协议已经成了一个易于受攻击、过时的协议。

19 个漏洞修复中有 14 个影响了 Java 客户端的部署,这些漏洞能够通过恶意的 Java 小程序(Java Applet)或 Java Web Start 应用程序的网页来发起攻击,其中有 4 个在通用安全漏洞评分系统(CVSS)中被评为 10 分(最高级别),另外 2 个被评为差不多 9.3 分。新修复的 Java 版本涉及到 5.0u81、6u91、7u75 / 7u76 和 8u31,但是关于 Java 5 和 6 的更新仅适用于同 Oracle 签署了长期技术支持合同的客户;本次更新也是 Java 7 的用户最后的一次更新,此后,Java 7 的用户要想持续得到安全更新,他们必须具有同 Oracle 签订长期的技术支持合同,否则就只能升级到 Java 8。

根据思科(Cisco)公布 2015 年年度安全报告显示,2014 年的 Java 程序受到攻击的数量下滑了 34%。然而在 2013 年 12 月,一家名为网络安全公司Trusteer的 IBM 旗下公司针对软件的木马攻击情况进行了统计,发现有一半的攻击都是针对 Java

此外,在关于 Java 的安全更新中,另一个重要的更新是默认禁用对 SSL 3.0 协议的支持。SSL 3.0 是安全套接层协议 (Secure Sockets Layer 简称 SSL) 的一个版本,该版本已有差不多 15 年的历史之久,属于过时且不安全的协议。尤其在去年,Google公布了所发现 SSL 3.0 的漏洞(称为 POODLE 漏洞),这种漏洞使得攻击者可以通过特定的手法获取客户端和服务器之间的加密数据,这些需要加密传输的很多数据多涉及到用户的隐私,如账号、密码之类的敏感信息。随后,谷歌、苹果、Mozilla、微软等各大公司相继宣布直接禁用了 SSL 3.0 协议或者添加可禁用该协议的功能。


感谢郭蕾对本文的审校。

给 InfoQ 中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ)或者腾讯微博(@InfoQ)关注我们,并与我们的编辑和其他读者朋友交流。

Java安全语言 & 开发架构