java补丁原理 java程序补丁

Oracle Java SE 重要补丁更新公告 — 2011 年 6 月

说明

重要补丁更新是针对多个安全漏洞的补丁集合。这个 Java SE 重要补丁更新还包含非安全性修复程序。重要补丁更新是累积式的，每个公告只描述自上一个重要补丁更新以来添加的安全修复程序。因此，要了解有关以前累积的安全修复程序的信息，应该查看以前的重要补丁更新公告。请参见：

重要补丁更新和安全警报，获得有关 Oracle 安全公告的信息。

考虑到攻击得逞所带来的威胁，Oracle 强烈建议用户尽快应用 CPU 修复程序。该重要补丁更新包含涉及所有 Java SE 产品的 17 个新安全修复程序。

受影响的支持产品

该重要补丁更新所解决的安全漏洞影响以下按类别列出的产品。请单击“可用补丁”列中或可用补丁表中的链接，查看这些补丁的文档。

受影响的产品和版本： Java SE 可用补丁

JDK 和 JRE 6 Update 25 以及更低版本

JDK 5.0 Update 29 以及更低版本

SDK 1.4.2_31 以及更低版本

可用补丁表与风险表

该更新中的 Java SE 修复程序是累积式的；最新的重要补丁更新包括自上一重要补丁更新以来的所有修复程序。 产品分组 风险表 可用补丁和安装信息

该重要补丁更新提出的几个漏洞影响着多个产品。

安全漏洞使用 CVSS 2.0 版进行评估(请参阅用于解释 Oracle 如何应用 CVSS 2.0 的 Oracle CVSS 评估系统)。Oracle 对重要补丁更新 (CPU) 解决的各个安全漏洞进行了分析。Oracle 不公开有关安全性分析的信息，但会在生成的风险表和相关文档中提供有关漏洞类型、利用漏洞所需的条件以及利用得逞的可能结果的信息。Oracle 部分地提供了这些信息，以便客户可以根据他们产品使用的特殊性分析自己的风险。出于政策方面的原因，Oracle 不会透露有关可能会导致漏洞利用得逞的利用条件或结果的详细信息。Oracle 不提供除 CPU 或安全警报通知、可用补丁表、自述文件和常见问题解答所提供信息以外的其他具体漏洞信息。Oracle 不向个别客户提供有关 CPU 或安全警报的预先通知。最后，Oracle 不会针对产品漏洞发布可利用的入侵代码或“验证性”代码。

变通方法

考虑到攻击得逞所带来的威胁，Oracle 强烈建议客户尽快应用 CPU 修复程序。如果不应用 CPU 修复程序，则无法通过限制攻击所需的网络协议来降低攻击得逞的风险。对于需要特定权限或者需要访问特定程序包的攻击，删除无特权用户的权限或者使其无法访问这些程序包可能有助于降低攻击得逞的风险。这两种方法都有可能损害应用程序功能，因此 Oracle 强烈建议客户在非生产系统上测试更改。这两种方法都不能更正底层问题，因此都不能作为长期解决方案。

漏掉的重要补丁更新

Oracle 强烈建议客户尽快应用修复程序。对于漏掉了一个或多个安全公告的客户，请查看之前的公告以确定要采取的行动。

不受支持的产品和版本

没有对不受支持的产品和版本测试过是否存在该重要补丁更新提出的安全漏洞。但是，很可能受影响的版本的那些早期版本也会受这些安全漏洞的影响。因此，Oracle 建议客户将其 Oracle 产品升级至受支持的版本。

对于不再支持的产品版本，未提供重要补丁更新补丁。我们建议客户升级至最新的受支持的 Oracle 产品版本，以获取补丁。

致谢声明

该重要补丁更新修复的安全漏洞由以下人员或组织向 Oracle 报告：TippingPoint 的零时差项目的匿名报告者；binaryproof，通过 iDefense；binaryproof，通过 Tipping Point；Chris Ries，通过 Tipping Point；Fujitsu 实验室的 Hisashi Kojima，通过 JPCERT/CC；iDefense；Red Hat 的 Marc Schoenefeld；TippingPoint DVLabs 的 Peter Vreugdenhil；Harmony Security 的 Stephen Fewer，通过 Tippingpoint。

Oracle Java SE 重要补丁更新日程表

Oracle Java SE 重要补丁更新接下来的三个更新日期为： 2011 年 10 月 18 日

2012 年 2 月 14 日

2012 年 6 月 12 日

参考资料 Oracle 重要补丁更新和安全警报主页 [ Oracle 技术网 ]

Oracle 重要补丁更新和安全警报 — 常见问题解答 [ CPU 常见问题解答 ]

使用常见漏洞评估系统 (CVSS)，Oracle [ Oracle CVSS 评估 ]

以前的 Java SE 安全更新安全公告 [ Java Sun 警报存档页面 ]

修改记录

日期 注释 2011 年 6 月 7 日 修订版 1 初始版本 附录 — Oracle Java SE

Oracle Java SE 执行概要

该重要补丁更新包含 17 个针对 Oracle Java SE 的新安全修复程序，其中 5 个适用于 Java SE 的客户端和服务器部署，11 个仅适用于 Java SE 的客户端部署，1 个仅适用于 Java SE 的服务器部署。所有这些漏洞无需身份验证即可远程利用，即可以通过网络使用该漏洞而无需用户名和口令。

以下 CVSS 评分假定运行 Java 小程序或 Java Web Start 应用程序的用户拥有管理员权限(这是 Windows 上的典型情况)。如果用户未以管理员权限运行(Solaris 和 Linux 的典型情况)，则对机密性、完整性以及可用性的对应 CVSS 评分的影响是“部分”而非“全”，并且对应的 CVSS 基本评分分别为 7.5，而不是 10。

对于部署中的问题，仅提供了针对 JDK 和 JRE 6 的修复程序。用户应使用 JRE 6 中的 Java Web Start 以及 6 Update 10 中引入的 Java 新插件。

My Oracle Support 说明 360870.1 解释了 Java 安全漏洞对包括 Oracle Java SE JDK 或 JRE 的 Oracle 产品的影响。

Oracle Java SE 风险表

漏洞号 组件 协议 子组件 无需身份验证即可远程利用？ CVSS 版本 2.0 风险(参阅风险表定义) 受影响的支持版本 说明

基本评分 访问途径 访问复杂性 身份验证 机密性 完整性 可用性 CVE-2011-0862 Java Runtime Environment 多种 2D 是 10.0 网络 低 无 全 全 全 6 Update 25 及之前版本，5.0 Update 29 及之前版本，1.4.2_31 及之前版本 参见注释 1

CVE-2011-0873 Java Runtime Environment 多种 2D 是 10.0 网络 低 无 全 全 全 6 Update 25 及之前版本，5.0 Update 29 及之前版本 参见注释 2

CVE-2011-0815 Java Runtime Environment 多种 AWT 是 10.0 网络 低 无 全 全 全 6 Update 25 及之前版本，5.0 Update 29 及之前版本，1.4.2_31 及之前版本 参见注释 3

CVE-2011-0817 Java Runtime Environment 多种 部署 是 10.0 网络 低 无 全 全 全 Windows 上的 6 Update 25 及之前版本 参见注释 3

CVE-2011-0863 Java Runtime Environment 多种 部署 是 10.0 网络 低 无 全 全 全 6 Update 25 及之前版本 参见注释 3

CVE-2011-0864 Java Runtime Environment 多种 HotSpot 是 10.0 网络 低 无 全 全 全 6 Update 25 及之前版本，5.0 Update 29 及之前版本，1.4.2_31 及之前版本 参见注释 3

CVE-2011-0802 Java Runtime Environment 多种 声音 是 10.0 网络 低 无 全 全 全 6 Update 25 及之前版本，5.0 Update 29 及之前版本，1.4.2_31 及之前版本 参见注释 2

CVE-2011-0814 Java Runtime Environment 多种 声音 是 10.0 网络 低 无 全 全 全 6 Update 25 及之前版本，5.0 Update 29 及之前版本，1.4.2_31 及之前版本 参见注释 2

CVE-2011-0871 Java Runtime Environment 多种 Swing 是 10.0 网络 低 无 全 全 全 6 Update 25 及之前版本，5.0 Update 29 及之前版本，1.4.2_31 及之前版本 参见注释 3

CVE-2011-0786 Java Runtime Environment 多种 部署 是 7.6 网络 高 无 全 全 全 Windows 上的 6 Update 25 及之前版本 参见注释 3

CVE-2011-0788 Java Runtime Environment 多种 部署 是 7.6 网络 高 无 全 全 全 Windows 上的 6 Update 25 及之前版本 参见注释 3

CVE-2011-0866 Java Runtime Environment 多种 Java Runtime Environment 是 7.6 网络 高 无 全 全 全 Windows 上的 6 Update 25 及之前版本，5.0 Update 29 及之前版本，1.4.2_31 及之前版本 参见注释 3

CVE-2011-0868 Java Runtime Environment 多种 2D 是 5.0 网络 低 无 部分 无 无 6 Update 25 及之前版本 参见注释 2

CVE-2011-0872 Java Runtime Environment 多种 NIO 是 5.0 网络 低 无 无 无 部分+ 6 Update 25 及之前版本 参见注释 4

CVE-2011-0867 Java Runtime Environment 多种 联网 是 5.0 网络 低 无 部分 无 无 6 Update 25 及之前版本，5.0 Update 29 及之前版本，1.4.2_31 及之前版本 参见注释 3

CVE-2011-0869 Java Runtime Environment 多种 SAAJ 是 5.0 网络 低 无 部分 无 无 6 Update 26 及之前版本 参见注释 3

CVE-2011-0865 Java Runtime Environment 多种 反序列化 是 2.6 网络 高 无 无 部分 无 6 Update 25 及之前版本，5.0 Update 29 及之前版本，1.4.2_31 及之前版本 参见注释 3

注： 修复程序解决此漏洞的多个实例。

适用于 Java 的客户端和服务器部署。该漏洞可通过不受信任的 Java Web Start 应用程序和不受信任的 Java 小程序利用。它还可以通过向指定组件中的 API 提供数据而利用，无需使用不受信任的 Java Web Start 应用程序或不受信任的 Java 小程序，如通过 Web 服务。

适用于 Java 的客户端和服务器部署。该漏洞可通过不受信任的 Java Web Start 应用程序和不受信任的 Java 小程序利用。它还可以通过向指定组件中的 API 提供数据而利用，无需使用不受信任的 Java Web Start 应用程序或不受信任的 Java 小程序，如通过 Web 服务。

仅适用于 Java 的客户端部署。该漏洞仅可通过不受信任的 Java Web Start 应用程序和不受信任的 Java 小程序利用。(不受信任的 Java Web Start 应用程序和不受信任的小程序以有限权限运行在 Java 沙盒中。)

仅适用于 Java 的服务器部署。该漏洞仅可以通过向指定组件中的 API 提供数据而利用，无需使用不受信任的 Java Web Start 应用程序或不受信任的 Java 小程序，如通过 Web 服务。