BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

Java安全更新修复19个漏洞并禁用了SSL 3.0

| 作者 李小兵 关注 0 他的粉丝 发布于 2015年1月29日. 估计阅读时间: 2 分钟 | Google、Facebook、Pinterest、阿里、腾讯 等顶尖技术团队的上百个可供参考的架构实例!

近日,Oracle发布本季度重要的补丁更新,本次更新共修复了169个安全问题,这些问题涉及到了Oracle 全系列产品,其中关于Java的安全更新就有19个漏洞的修复以及对SSL 3.0安全协议默认支持的禁用,这是因为SSL 3.0安全协议已经成了一个易于受攻击、过时的协议。

19个漏洞修复中有14个影响了Java客户端的部署,这些漏洞能够通过恶意的Java小程序(Java Applet)或Java Web Start应用程序的网页来发起攻击,其中有4个在通用安全漏洞评分系统(CVSS)中被评为10分(最高级别),另外2个被评为差不多9.3分。新修复的Java版本涉及到5.0u81、6u91、7u75 / 7u76和8u31,但是关于Java 5和6的更新仅适用于同Oracle签署了长期技术支持合同的客户;本次更新也是Java 7的用户最后的一次更新,此后,Java 7的用户要想持续得到安全更新,他们必须具有同Oracle签订长期的技术支持合同,否则就只能升级到Java 8。

根据思科(Cisco)公布2015年年度安全报告显示,2014年的Java程序受到攻击的数量下滑了34%。然而在2013年12月,一家名为网络安全公司Trusteer的IBM旗下公司针对软件的木马攻击情况进行了统计,发现有一半的攻击都是针对Java

此外,在关于Java的安全更新中,另一个重要的更新是默认禁用对SSL 3.0协议的支持。SSL 3.0是安全套接层协议 (Secure Sockets Layer 简称 SSL)的一个版本,该版本已有差不多15年的历史之久,属于过时且不安全的协议。尤其在去年,Google公布了所发现SSL 3.0的漏洞(称为POODLE漏洞),这种漏洞使得攻击者可以通过特定的手法获取客户端和服务器之间的加密数据,这些需要加密传输的很多数据多涉及到用户的隐私,如账号、密码之类的敏感信息。随后,谷歌、苹果、Mozilla、微软等各大公司相继宣布直接禁用了SSL 3.0协议或者添加可禁用该协议的功能。


感谢郭蕾对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ)或者腾讯微博(@InfoQ)关注我们,并与我们的编辑和其他读者朋友交流。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT