甲骨文表示SPARCv9中存在SPectre CPU bug,修復(fù)補(bǔ)丁即將發(fā)布

責(zé)任編輯:editor007

作者:The Register

2018-01-17 19:42:40

摘自:至頂網(wǎng)

紅色巨人終于為其x86設(shè)備上的230多個(gè)問題提供修復(fù)補(bǔ)丁。

紅色巨人終于為其x86設(shè)備上的230多個(gè)問題提供修復(fù)補(bǔ)丁。

 

甲骨文表示SPARCv9中存在SPectre CPU bug,修復(fù)補(bǔ)丁即將發(fā)布

 

甲骨文公司已經(jīng)向其SPARC平臺(tái)用戶發(fā)布公告,表示其確實(shí)會(huì)受到Spectre處理器bug的影響。

在由甲骨文客戶門戶網(wǎng)站發(fā)布的一份技術(shù)支持文檔當(dāng)中,該公司指出:“甲骨文公司認(rèn)為SPARCv9中的某些Oracle Solaris版本受到Spectre漏洞的影響。”

這份剛剛更新的文檔確認(rèn)稱,“甲骨文公司正在為所有具備Premier Support或Extended Support支持服務(wù)的受影響版本開發(fā)修復(fù)補(bǔ)丁。”

甲骨文方面并沒有提到這些更新的具體發(fā)布時(shí)間; 數(shù)據(jù)庫巨頭承諾將在“成功完成對(duì)補(bǔ)丁的測(cè)試后進(jìn)行發(fā)布”。

這份文檔進(jìn)一步補(bǔ)充稱,“甲骨文公司還將調(diào)查這些補(bǔ)丁對(duì)處理器性能造成的影響”,同時(shí)提醒客戶“不要在受影響系統(tǒng)上安裝不受信任的程序”,因?yàn)榇祟悜?yīng)用程序能夠利用Spectre漏洞從易受攻擊的計(jì)算機(jī)當(dāng)中收集敏感信息。

文檔指出,“甲骨文公司亦建議客戶限制高權(quán)限用戶(即有能力安裝并運(yùn)行代碼)數(shù)量,并定期審查審計(jì)日志(以檢測(cè)潛在的異?;顒?dòng))。”

文檔還澄清稱,基于SPARCv9架構(gòu)的Solaris處理器不存在Meltdown bug。

在確認(rèn)SPARC Solaris處理器存在Spectre安全漏洞的同時(shí),甲骨文公司也為其x86服務(wù)器發(fā)布了Meltdown/Spectre修復(fù)補(bǔ)丁。

這批修復(fù)補(bǔ)丁“面向Oracle OS與Oracle VM,用于解決CVE-2017-5715安全漏洞,其中包含經(jīng)過更新的英特爾微代碼”。不過有些奇怪的是,在此之前Oracle Linux與Oracle Virtualization已經(jīng)收到了相關(guān)修復(fù)補(bǔ)丁。

我們就此事向甲骨文方面提出詢問,但對(duì)方表示無可奉告。

我們還詢問了甲骨文x86云的當(dāng)前狀況,并發(fā)現(xiàn)客戶論壇上的一些文章指出部分用戶接收消息,稱為了保證基礎(chǔ)設(shè)施免受Meltdown與Spectre的影響,相關(guān)服務(wù)即將中斷。

另外發(fā)布200多項(xiàng)其它修復(fù)補(bǔ)丁

在紅色巨人的季度補(bǔ)丁列表當(dāng)中,我們發(fā)現(xiàn)了222項(xiàng)其它x86修復(fù)補(bǔ)丁的身影。

其中還包含一項(xiàng)重要性評(píng)級(jí)高達(dá)十星滿分的補(bǔ)丁,甲骨文公司提醒Sun ZFS存儲(chǔ)設(shè)備工具包用戶這項(xiàng)漏洞有可能導(dǎo)致攻擊者全面接管存儲(chǔ)設(shè)備并找到由此侵入其它設(shè)備的路徑。更可怕的是,允許實(shí)現(xiàn)無驗(yàn)證遠(yuǎn)程代碼執(zhí)行的修復(fù)補(bǔ)丁總量達(dá)到了驚人的135項(xiàng)。

其它高風(fēng)險(xiǎn)bug還將影響到Oracle WebLogic Server,其評(píng)級(jí)為9.9星(CVE-2017-10352),可能導(dǎo)致未授權(quán)用戶通過HTTP令服務(wù)器陷入癱瘓。

甲骨文的Communications衣長中則擁有多項(xiàng)評(píng)分達(dá)9.8的bug,但其皆歸屬于Apache軟件——而非源自甲骨文自家開發(fā)成果。事實(shí)上,甲骨文此次公布的修復(fù)補(bǔ)丁列表中21次提及Apache Log4j,這意味著CVE-2017-5645憑借一己之力貢獻(xiàn)了百分之十的修復(fù)補(bǔ)丁比例。其它遺留問題還包括CVE-2017-5461(一項(xiàng)存在于NSS解碼器中的bug,評(píng)分為9.8),其會(huì)影響到Oracle Directory Server企業(yè)版與iPlanet Web Server。

Micros MC40 Zebra Handheld單元的用戶(這是一款供零售商用于掃描并使用磁條讀取器進(jìn)行支付的小工具)可能遭受藍(lán)牙與WiFI網(wǎng)絡(luò)攻擊。截至本文完稿時(shí),CVE-2018-2697的修復(fù)信息尚未公開,不過這里我們?nèi)砸鞒稣f明——其會(huì)影響到Oracle Cruise Fleet Management應(yīng)用的緊急響應(yīng)系統(tǒng)。

Java用戶也該忙活起來了,此次受到影響的包括Java SE與Java SE Embedded,外加Java ME SDK安裝程序,所有相關(guān)bug的評(píng)分皆在7到8之間。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)