Java 8將停止維護(hù) 高校用戶需及早應(yīng)對

文/鄭先偉

10月教育網(wǎng)運(yùn)行平穩(wěn)，未發(fā)現(xiàn)影響嚴(yán)重的安全事件。值得關(guān)注的是Oracle公司在9月底剛剛發(fā)布了Java 11的版本，并修正了版本更新規(guī)則，繼Mysql之后，Java開發(fā)環(huán)境的更新服務(wù)也從免費(fèi)變更成收費(fèi)模式。對于Java 8商業(yè)版jdk從2019年1月開始停止免費(fèi)更新，個人版則可延續(xù)到2020年12月后停止免費(fèi)更新，而Java 11版jdk則從發(fā)布開始就沒有免費(fèi)的版本。這次更新政策的變化，對使用Java語言開發(fā)的業(yè)務(wù)系統(tǒng)會帶來較大影響，學(xué)校應(yīng)該提前對可能帶來的風(fēng)險進(jìn)行評估，如果后續(xù)的更新無法維系，應(yīng)該盡快在期限到達(dá)前改用其他開發(fā)模式。

10月網(wǎng)站類的安全事件有大幅下降。近期沒有新增需要關(guān)注的木馬病毒。

近期新增嚴(yán)重漏洞評述：

1. 微軟10月的例行安全公告修復(fù)了其多款產(chǎn)品中存在的118個安全漏洞。受影響的產(chǎn)品包括Windows 10 v1809及WindowsServer 2019（19個）、Windows 10 v1803及Windows Serverv1803（21個）、Windows 10 v1709及Windows Serverv1709（21個 ）、Windows 8.1及 Windows Server2012 R2（15個）、Windows Server 2012（14個）、Windows 7及 Windows Server 2008R2（14個）和Windows Server 2008（14個）。建議用戶盡快使用系統(tǒng)自帶的更新功能進(jìn)行更新。公告的詳細(xì)信息可參見：https://support.microsoft.com/en-us/help/20181009/security-updatedeployment-information-october-9-2018。

2018年9～10月安全投訴事件統(tǒng)計

2. Oracle在10月發(fā)布了今年第四季度的例行安全公告，本次公告修復(fù)了其多款產(chǎn)品中存在的301個安全漏洞，這其中有159個屬于高危漏洞，有273個漏洞可被遠(yuǎn)程利用。受影響的產(chǎn)品包括Oracle Database Server數(shù)據(jù)庫（3個）、Oracle Big Data Graph（1個 ）、Oracle GoldenGate（3個）、Oracle Communications Applications（14個）、OracleConstruction and Engineering Suite（10個）、電子商務(wù)套裝軟件Oracle E-Business Suite（16個）、Oracle Enterprise Manager Products Suite（4個）、OracleFinancial Services Applications（2個）、Oracle Food and Beverage Applications（4個）、中間件產(chǎn)品FusionMiddleware（65個）、Oracle Health Sciences Application（1個）、OracleHospitality Applications（9個）、Oracle Hyperion（9 個）、Oracle iLearning（1個）、Oracle Insurance Applications（5個）、OracleJava SE（12個）、Oracle JD Edwards產(chǎn)品（6個）、Oracle MySQL數(shù)據(jù)庫（38個）、Oracle PeopleSoft產(chǎn)品（24個、Oracle Supply Chain Products Suite（6個）、OracleSupport Tools（1個 ） 和Oracle Virtualization（14個）。 這 其中WebLogic Server遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2018-3245）需要特別關(guān)注，漏洞影響WebLogic Server 10.3.6.0、12.1.3.0、12.2.1.2、12.2.1.3等版本攻擊者利用該漏洞可以在未授權(quán)的情況下將payload封裝在T3協(xié)議中，通過對T3協(xié)議中的payload進(jìn)行反序列化，從而實現(xiàn)對存在漏洞的WebLogic組件進(jìn)行遠(yuǎn)程攻擊，執(zhí)行任意代碼，并獲取目標(biāo)系統(tǒng)的所有權(quán)限。目前廠商已經(jīng)針對該漏洞發(fā)布了補(bǔ)丁程序，用戶應(yīng)該根據(jù)自己的使用情況盡快安裝相應(yīng)的補(bǔ)丁程序。相關(guān)的補(bǔ)丁信息請參見：https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html。

3. Mozilla Firefox 63之前的版本中存在多個安全漏洞，這些漏洞可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行、信息泄漏、權(quán)限提升、權(quán)限限制繞過及拒絕服務(wù)等攻擊。廠商已經(jīng)在最新的63版本中修補(bǔ)了這些漏洞，使用Firefox瀏覽器的用戶應(yīng)該盡快進(jìn)行版本更新。漏洞及更新信息可參見：https://www.mozilla.org/en-US/security/advisories/mfsa2018-26/。

安全提示

學(xué)校有很多業(yè)務(wù)系統(tǒng)都是委托第三方公司開發(fā)的，這些公司在開發(fā)過程中都有可能選擇Java作為開發(fā)工具，如果開發(fā)公司在后續(xù)的工作中選擇向Oracle公司支付升級費(fèi)用，則后續(xù)運(yùn)行不會有任何問題。如果開發(fā)公司因為成本問題選擇GPL模式（免費(fèi)開源模式），那么它之前開發(fā)的很多系統(tǒng)代碼就必須遵循GPL協(xié)議進(jìn)行開源（否則將面臨法律起訴問題）。因此學(xué)校需要根據(jù)自己業(yè)務(wù)系統(tǒng)本身的情況（開發(fā)語言）來聯(lián)系相應(yīng)的廠商進(jìn)行確認(rèn)，以確保系統(tǒng)在免費(fèi)更新期限后仍能獲取可靠的安全服務(wù)。