1.修復的CVE ·CVE-2014-3566 描述：OpenSSL是Openssl團隊的一個開源的能夠實現安全套接層（SSLv2/v3）和安全傳輸層（TLSv1）協議的通用加密庫。該產品支持多種加密算法，包括對稱密碼、哈希算法、安全散列算法等。OpenSSL 1.0.1i及之前版本中使用的SSL protocol 3.0版本中存在加密問題漏洞，該漏洞源于程序使用非確定性的CBC填充。攻擊者可借助padding-oracle攻擊利用該漏洞實施中間人攻擊，獲取明文數據。 ·CVE-2016-0686 描述：Oracle Java SE 6u113、7u99和8u77以及Java SE Embedded 8u77中存在未明漏洞，遠程攻擊者可借助與序列化相關的向量影響機密性、完整性和可用性。 ·CVE-2016-0687 描述：Oracle Java SE 6u113、7u99和8u77以及Java SE Embedded 8u77中存在未明漏洞，遠程攻擊者可借助與熱點子組件相關的向量影響機密性、完整性和可用性。 ·CVE-2016-0695 描述：發現OpenJDK中的安全組件在生成DSA簽名時未能檢查摘要算法的強度。使用弱于密鑰強度的摘要可能會導致生成比預期弱的簽名。 ·CVE-2016-10165 描述：Little CMS（aka lcms2）中cmstypes.c中的Type_MLU_Read函數允許遠程攻擊者通過一個特制的ICC配置文件的圖像獲取敏感信息或引起拒絕服務，從而觸發超出邊界的堆讀取。 ·CVE-2016-3425 描述：我們發現OpenJDK中的JAXP組件未能正確處理作為XML屬性值一部分使用的Unicode代理項對。特別構建的XML輸入可能會導致Java應用程序在解析時使用過多的內存。 ·CVE-2016-3427 描述：Oracle Java SE等都是美國甲骨文（Oracle）公司的產品。Oracle Java SE是一款用于開發和部署桌面、服務器以及嵌入設備和實時環境中的Java應用程序。Oracle Java SE Embedded是一款針對嵌入式系統的、可移植的應用程序的Java平臺。Oracle Jrockit是一款內置于Oracle融合中間件中的Java虛擬機。Oracle Java SE、Java SE Embedded和JRockit中的JMX子組件存在安全漏洞。遠程攻擊者可利用該漏洞控制組件，影響數據的保密性，完整性及可用性。以下版本受到影響：Oracle Java SE 6u113版本，7u99版本，8u77版本，Java SE Embedded 8u77版本，Jrockit R28.3.9版本。 ·CVE-2016-3458 描述：Oracle Java SE 6u115、7u101和8u92；以及Java SE Embedded 8u91中存在未明漏洞，遠程攻擊者可借助與CORBA相關的向量影響完整性。 ·CVE-2016-3500 描述：Oracle Java SE 6u115、7u101和8u92；Java SE Embedded 8u91；和JRockit R28.3.10中的未指明漏洞允許遠程攻擊者通過與JAXP相關的向量來影響可用性，這是一個與CVE-2016-3508不同的漏洞。 ·CVE-2016-3508 描述：Oracle Java SE 6u115、7u101和8u92；Java SE Embedded 8u91；和JRockit R28.3.10中的未指明漏洞允許遠程攻擊者通過與JAXP相關的向量來影響可用性，這是一個與CVE-2016-3500不同的漏洞。 ·CVE-2016-3550 描述：Oracle Java SE 6u115、7u101和8u92以及Java SE Embedded 8u91中存在未明漏洞，遠程攻擊者可借助與熱點相關的向量影響機密性。 ·CVE-2016-3598 描述：Oracle Java SE 8u92和Java SE Embedded 8u91中的未指明漏洞允許遠程攻擊者通過與庫相關的向量來影響機密性、完整性和可用性，這是一個與CVE-2016-3610不同的漏洞。 ·CVE-2016-3606 描述：Oracle Java SE 7u101和8u92以及Java SE Embedded 8u91中存在未明漏洞，遠程攻擊者可借助與熱點相關的向量影響機密性、完整性和可用性。 ·CVE-2016-3610 描述：Oracle Java SE 8u92和Java SE Embedded 8u91中存在未明漏洞，遠程攻擊者可借助與庫相關的向量來影響機密性、完整性和可用性，這是一個與CVE-2016-3598不同的漏洞。 ·CVE-2016-5542 描述：我們發現OpenJDK的Libraries組件沒有限制用于JAR完整性驗證的算法集。此漏洞允許攻擊者修改使用弱簽名密鑰或哈希算法的JAR文件的內容。 ·CVE-2016-5546 描述：我們發現OpenJDK的Libraries組件使用非規范的DER編碼接受ECDSA簽名。這可能導致Java應用程序以其他加密工具無法接受的錯誤格式接受簽名。 ·CVE-2016-5547 描述：我們發現OpenJDK的Libraries組件在分配內存來存儲OID之前沒有驗證從DER輸入讀取的對象標識符的長度。攻擊者能夠使Java應用程序解碼巧盡心思構建的DER輸入，可能會導致應用程序消耗過多內存。 ·CVE-2016-5548 描述：在OpenJDK的Libraries組件的DSA實現中發現了一個隱蔽的定時通道缺陷。遠程攻擊者可能利用此漏洞通過定時側通道提取有關所用密鑰的特定信息。 ·CVE-2016-5552 描述：我們發現OpenJDK的網絡組件無法正確解析URL中的用戶信息。遠程攻擊者可能會導致Java應用程序錯誤地解析攻擊者提供的URL，并以與處理同一URL的其他應用程序不同的方式對其進行解釋。 ·CVE-2016-5554 描述：在OpenJDK的JMX組件處理類加載器的方式中發現了一個缺陷。不受信任的Java應用程序或小程序可以利用此缺陷繞過某些Java沙盒限制。 ·CVE-2016-5573 描述：我們發現OpenJDK的熱點組件沒有正確檢查接收到的Java調試線協議（JDWP）包。如果攻擊者能夠使受害者的瀏覽器向調試應用程序的JDWP端口發送HTTP請求，則攻擊者可能會利用此漏洞向運行調試的Java程序發送調試命令。 ·CVE-2016-5582 描述：我們發現OpenJDK的熱點組件沒有正確檢查系統陣列復制（）在某些情況下起作用。不受信任的Java應用程序或小程序可以利用此漏洞破壞虛擬機的內存，并完全繞過Java沙盒限制。 ·CVE-2016-5597 描述：在OpenJDK的網絡組件處理HTTP代理身份驗證的方式中發現了一個缺陷。如果代理請求身份驗證，Java應用程序可能會通過純文本網絡連接到HTTP代理來公開HTTPS服務器身份驗證憑據。 ·CVE-2017-10053 描述：我們發現OpenJDK的2D組件中的JPEGImageReader實現在某些情況下會讀取所有圖像數據，即使以后不使用它。巧盡心思構建的映像可能會導致Java應用程序臨時使用過多的CPU和內存。 ·CVE-2017-10067 描述：Oracle Java SE的Java SE組件中存在漏洞（子組件：安全性）。受影響的受支持版本是javase:6u151、7u141和8u131。難以利用的漏洞允許未經身份驗證的攻擊者通過多個協議訪問網絡，從而危害Java SE。成功的攻擊需要攻擊者以外的人與人進行交互。成功攻擊此漏洞可導致接管Java SE。注意：此漏洞適用于Java部署，通常在運行沙盒Java Web Start應用程序或沙盒Java小程序的客戶端中，這些客戶端加載并運行不受信任的代碼（例如，來自internet的代碼）并依賴Java沙盒來確保安全。此漏洞不適用于僅加載和運行受信任代碼（例如，由管理員安裝的代碼）的Java部署，通常在服務器中。CVSS 3.0基本得分7.5（機密性、完整性和可用性影響）。CVSS矢量：(CVSS:3.0/AV：N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H）。 ·CVE-2017-10074 描述：Oracle Java SE的Java SE、Java SE嵌入式組件（子組件：熱點）中的漏洞。受影響的受支持版本是javase:6u151、7u141和8u131；javase Embedded:8u131。難以利用的漏洞允許未經身份驗證的攻擊者通過多個協議訪問網絡，危害Java SE、Java SE Embedded。成功的攻擊需要攻擊者以外的人與人交互，雖然漏洞存在于javase中，但攻擊可能會嚴重影響其他產品。成功攻擊此漏洞可導致接管Java SE，Java SE Embedded。注意：此漏洞適用于Java部署，通常在運行沙盒Java Web Start應用程序或沙盒Java小程序的客戶端中，這些客戶端加載并運行不受信任的代碼（例如，來自internet的代碼）并依賴Java沙盒來確保安全。此漏洞不適用于僅加載和運行受信任代碼（例如，由管理員安裝的代碼）的Java部署，通常在服務器中。CVSS 3.0基本得分8.3（機密性、完整性和可用性影響）。CVSS矢量：(CVSS:3.0/AV：N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H）。 ·CVE-2017-10081 描述：Oracle Java SE的Java SE、Java SE嵌入式組件（子組件：熱點）中的漏洞。受影響的受支持版本是javase:6u151、7u141和8u131；javase Embedded:8u131。易受攻擊的漏洞允許未經身份驗證的攻擊者通過多個協議訪問網絡，從而危害Java SE、Java SE Embedded。成功的攻擊需要攻擊者以外的人與人進行交互。成功攻擊此漏洞可導致未經授權更新、插入或刪除對Java SE、Java SE嵌入的可訪問數據的訪問。注意：此漏洞適用于Java部署，通常在運行沙盒Java Web Start應用程序或沙盒Java小程序的客戶端中，這些客戶端加載并運行不受信任的代碼（例如，來自internet的代碼）并依賴Java沙盒來確保安全。此漏洞不適用于僅加載和運行受信任代碼（例如，由管理員安裝的代碼）的Java部署，通常在服務器中。CVSS 3.0基本得分4.3（完整性影響）。CVSS矢量：(CVSS:3.0/AV：N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N）。 ·CVE-2017-10087 描述：Oracle Java SE的Java SE、Java SE嵌入式組件（子組件：庫）中存在漏洞。受影響的受支持版本是javase:6u151、7u141和8u131；javase Embedded:8u131。易受攻擊的漏洞允許未經身份驗證的攻擊者通過多個協議訪問網絡，從而危害Java SE、Java SE Embedded。成功的攻擊需要攻擊者以外的人與人交互，雖然漏洞存在于javase中，但攻擊可能會嚴重影響其他產品。成功攻擊此漏洞可導致接管Java SE，Java SE Embedded。注意：此漏洞適用于Java部署，通常在運行沙盒Java Web Start應用程序或沙盒Java小程序的客戶端中，這些客戶端加載并運行不受信任的代碼（例如，來自internet的代碼）并依賴Java沙盒來確保安全。此漏洞不適用于僅加載和運行受信任代碼（例如，由管理員安裝的代碼）的Java部署，通常在服務器中。CVSS 3.0基本得分9.6（機密性、完整性和可用性影響）。CVSS矢量：(CVSS:3.0/AV：N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H）。 ·CVE-2017-10089 描述：Oracle Java SE的Java SE組件（子組件：ImageIO）中存在漏洞。受影響的受支持版本是javase:6u151、7u141和8u131。易受攻擊的漏洞允許未經身份驗證的攻擊者通過多個協議訪問網絡，從而危害Java SE。成功的攻擊需要攻擊者以外的人與人交互，雖然漏洞存在于Java SE中，但攻擊可能會嚴重影響其他產品。成功攻擊此漏洞可導致接管Java SE。注意：此漏洞適用于Java部署，通常在運行沙盒Java Web Start應用程序或沙盒Java小程序的客戶端中，這些客戶端加載并運行不受信任的代碼（例如，來自internet的代碼）并依賴Java沙盒來確保安全。此漏洞不適用于僅加載和運行受信任代碼（例如，由管理員安裝的代碼）的Java部署，通常在服務器中。CVSS 3.0基本得分9.6（機密性、完整性和可用性影響）。CVSS矢量：(CVSS:3.0/AV：N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H）。 ·CVE-2017-10090 描述：Oracle Java SE的Java SE、Java SE嵌入式組件（子組件：庫）中存在漏洞。受影響的受支持版本是javase:7u141和8u131；javase Embedded:8u131。易受攻擊的漏洞允許未經身份驗證的攻擊者通過多個協議訪問網絡，從而危害Java SE、Java SE Embedded。成功的攻擊需要攻擊者以外的人與人交互，雖然漏洞存在于javase中，但攻擊可能會嚴重影響其他產品。成功攻擊此漏洞可導致接管Java SE，Java SE Embedded。注意：此漏洞適用于Java部署，通常在運行沙盒Java Web Start應用程序或沙盒Java小程序的客戶端中，這些客戶端加載并運行不受信任的代碼（例如，來自internet的代碼）并依賴Java沙盒來確保安全。此漏洞不適用于僅加載和運行受信任代碼（例如，由管理員安裝的代碼）的Java部署，通常在服務器中。CVSS 3.0基本得分9.6（機密性、完整性和可用性影響）。CVSS矢量：(CVSS:3.0/AV：N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H）。 ·CVE-2017-10096 描述：Oracle Java SE的Java SE、Java SE嵌入式組件（子組件：JAXP）中存在漏洞。受影響的受支持版本是javase:6u151、7u141和8u131；javase Embedded:8u131。易受攻擊的漏洞允許未經身份驗證的攻擊者通過多個協議訪問網絡，從而危害Java SE、Java SE Embedded。成功的攻擊需要攻擊者以外的人與人交互，雖然漏洞存在于javase中，但攻擊可能會嚴重影響其他產品。成功攻擊此漏洞可導致接管Java SE，Java SE Embedded。注意：此漏洞適用于Java部署，通常在運行沙盒Java Web Start應用程序或沙盒Java小程序的客戶端中，這些客戶端加載并運行不受信任的代碼（例如，來自internet的代碼）并依賴Java沙盒來確保安全。此漏洞不適用于僅加載和運行受信任代碼（例如，由管理員安裝的代碼）的Java部署，通常在服務器中。CVSS 3.0基本得分9.6（機密性、完整性和可用性影響）。CVSS矢量：(CVSS:3.0/AV：N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H）。 ·CVE-2017-10101 描述：Oracle Java SE的Java SE、Java SE嵌入式組件（子組件：JAXP）中存在漏洞。受影響的受支持版本是javase:6u151、7u141和8u131；javase Embedded:8u131。易受攻擊的漏洞允許未經身份驗證的攻擊者通過多個協議訪問網絡，從而危害Java SE、Java SE Embedded。成功的攻擊需要攻擊者以外的人與人交互，雖然漏洞存在于javase中，但攻擊可能會嚴重影響其他產品。成功攻擊此漏洞可導致接管Java SE，Java SE Embedded。注意：此漏洞適用于Java部署，通常在運行沙盒Java Web Start應用程序或沙盒Java小程序的客戶端中，這些客戶端加載并運行不受信任的代碼（例如，來自internet的代碼）并依賴Java沙盒來確保安全。此漏洞不適用于僅加載和運行受信任代碼（例如，由管理員安裝的代碼）的Java部署，通常在服務器中。CVSS 3.0基本得分9.6（機密性、完整性和可用性影響）。CVSS矢量：(CVSS:3.0/AV：N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H）。 ·CVE-2017-10102 描述：我們發現OpenJDK的RMI組件中的DCG實現無法正確處理引用。遠程攻擊者可能利用此漏洞以RMI注冊表或Java RMI應用程序的權限執行任意代碼。 ·CVE-2017-10107 描述：Oracle Java SE的Java SE、Java SE嵌入式組件（子組件：RMI）中存在漏洞。受影響的受支持版本是javase:6u151、7u141和8u131；javase EmbedAded:8u131。易受攻擊的漏洞允許未經身份驗證的攻擊者通過多個協議訪問網絡，從而危害Java SE、Java SE Embedded。成功的攻擊需要攻擊者以外的人與人交互，雖然漏洞存在于javase中，但攻擊可能會嚴重影響其他產品。成功攻擊此漏洞可導致接管Java SE，Java SE Embedded。注意：此漏洞適用于Java部署，通常在運行沙盒Java Web Start應用程序或沙盒Java小程序的客戶端中，這些客戶端加載并運行不受信任的代碼（例如，來自internet的代碼）并依賴Java沙盒來確保安全。此漏洞不適用于僅加載和運行受信任代碼（例如，由管理員安裝的代碼）的Java部署，通常在服務器中。CVSS 3.0基本得分9.6（機密性、完整性和可用性影響）。CVSS矢量：(CVSS:3.0/AV：N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H）。 ·CVE-2017-10108 描述：Oracle Java SE的Java SE、Java SE Embedded、JRockit組件（子組件：序列化）中存在漏洞。受影響的受支持版本是javase:6u151、7u141和8u131；javase Embedded:8u131；JRockit:R28.3.14。易受攻擊的漏洞允許未經身份驗證的攻擊者通過多種協議訪問網絡，從而危害Java SE、Java SE Embedded、JRockit。成功攻擊此漏洞會導致未經授權的能力，從而導致Java SE、Java SE Embedded、JRockit的部分拒絕服務（部分拒絕服務）。注意：此漏洞可通過沙盒Java Web Start應用程序和沙盒Java小程序進行攻擊。也可以通過向指定組件中的api提供數據而不使用沙盒javawebstart應用程序或沙盒Java applet（例如通過Web服務）來攻擊它。CVSS 3.0基本得分5.3（可用性影響）。CVSS矢量：(CVSS:3.0/AV：N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L）。 ·CVE-2017-10109 描述：Oracle Java SE的Java SE、Java SE Embedded、JRockit組件（子組件：序列化）中存在漏洞。受影響的受支持版本是javase:6u151、7u141和8u131；javase Embedded:8u131；JRockit:R28.3.14。易受攻擊的漏洞允許未經身份驗證的攻擊者通過多種協議訪問網絡，從而危害Java SE、Java SE Embedded、JRockit。成功攻擊此漏洞會導致未經授權的能力，從而導致Java SE、Java SE Embedded、JRockit的部分拒絕服務（部分拒絕服務）。注意：此漏洞適用于Java部署，通常在運行沙盒Java Web Start應用程序或沙盒Java小程序的客戶端中，這些客戶端加載并運行不受信任的代碼（例如，來自internet的代碼）并依賴Java沙盒來確保安全。此漏洞不適用于僅加載和運行受信任代碼（例如，由管理員安裝的代碼）的Java部署，通常在服務器中。CVSS 3.0基本得分5.3（可用性影響）。CVSS矢量：(CVSS:3.0/AV：N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L）。 ·CVE-2017-10110 描述：Oracle Java SE的Java SE組件（子組件：AWT）中存在漏洞。受影響的受支持版本是javase:6u151、7u141和8u131。易受攻擊的漏洞允許未經身份驗證的攻擊者通過多個協議訪問網絡，從而危害Java SE。成功的攻擊需要攻擊者以外的人與人交互，雖然漏洞存在于Java SE中，但攻擊可能會嚴重影響其他產品。成功攻擊此漏洞可導致接管Java SE。注意：此漏洞適用于Java部署，通常在運行沙盒Java Web Start應用程序或沙盒Java小程序的客戶端中，這些客戶端加載并運行不受信任的代碼（例如，來自internet的代碼）并依賴Java沙盒來確保安全。此漏洞不適用于僅加載和運行受信任代碼（例如，由管理員安裝的代碼）的Java部署，通常在服務器中。CVSS 3.0基本得分9.6（機密性、完整性和可用性影響）。CVSS矢量：(CVSS:3.0/AV：N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H）。 ·CVE-2017-10115 描述：在OpenJDK的JCE組件的DSA實現中發現了一個隱蔽的定時通道缺陷。能夠使Java應用程序按需生成DSA簽名的遠程攻擊者可能利用此漏洞通過定時側通道提取有關所用密鑰的特定信息。 ·CVE-2017-10116 描述：我們發現OpenJDK的安全組件中的LDAPCertStore類遵循LDAP對任意url的引用。巧盡心思構建的LDAP引用URL可能會導致LDAPCertStore與非LDAP服務器通信。 ·CVE-2017-10135 描述：OpenJDK的JCE組件中的PKCS#8實現中發現了一個隱蔽的定時通道缺陷。能夠使Java應用程序反復將PKCS#8密鑰與攻擊者控制的值進行比較的遠程攻擊者可能利用此漏洞通過定時側通道確定密鑰。 ·CVE-2017-10193 描述：Oracle Java SE的Java SE、Java SE嵌入式組件（子組件：安全性）中的漏洞。受影響的受支持版本是javase:6u151、7u141和8u131；javase Embedded:8u131。難以利用的漏洞允許未經身份驗證的攻擊者通過多個協議訪問網絡，危害Java SE、Java SE Embedded。成功的攻擊需要攻擊者以外的人與人進行交互。成功攻擊此漏洞可導致對Java SE、Java SE嵌入式可訪問數據的子集進行未經授權的讀取訪問。注意：此漏洞適用于Java部署，通常在運行沙盒Java Web Start應用程序或沙盒Java小程序的客戶端中，這些客戶端加載并運行不受信任的代碼（例如，來自internet的代碼）并依賴Java沙盒來確保安全。此漏洞不適用于僅加載和運行受信任代碼（例如，由管理員安裝的代碼）的Java部署，通常在服務器中。CVSS 3.0基本得分3.1（保密影響）。CVSS矢量：(CVSS:3.0/AV：N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N）。 ·CVE-2017-10198 描述：我們發現OpenJDK的安全組件可能無法正確執行為處理X.509證書鏈而定義的限制。遠程攻擊者可能利用此漏洞使Java接受使用禁用算法之一的證書。 ·CVE-2017-10243 描述：我們發現OpenJDK的JAX-WS組件中的wsdlimport工具在解析WSDL-XML文檔時沒有使用安全的XML解析器設置。巧盡心思構建的WSDL文檔可能會導致wsdlimport使用過多的CPU和內存、打開與其他主機的連接或泄漏信息。 ·CVE-2017-10274 描述：Oracle Java SE的Java SE組件（子組件：智能卡IO）中存在漏洞。受影響的受支持版本是javase:6u161、7u151、8u144和9。難以利用的漏洞允許未經身份驗證的攻擊者通過多個協議訪問網絡，從而危害Java SE。成功的攻擊需要攻擊者以外的人與人進行交互。成功攻擊此漏洞可導致未經授權創建、刪除或修改關鍵數據或所有Java SE可訪問數據，以及未經授權訪問關鍵數據或完全訪問所有Java SE可訪問數據。注意：此漏洞適用于Java部署，通常在運行沙盒Java Web Start應用程序或沙盒Java小程序的客戶端中，這些客戶端加載并運行不受信任的代碼（例如，來自internet的代碼）并依賴Java沙盒來確保安全。此漏洞不適用于僅加載和運行受信任代碼（例如，由管理員安裝的代碼）的Java部署，通常在服務器中。CVSS 3.0基本得分6.8（機密性和完整性影響）。CVSS矢量：(CVSS:3.0/AV：N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N）。 ·CVE-2017-10281 描述：Oracle Java SE的Java SE、Java SE Embedded、JRockit組件（子組件：序列化）中存在漏洞。受影響的受支持版本是javase:6u161、7u151、8u144和9；javase Embedded:8u144；JRockit:R28.3.15。易受攻擊的漏洞允許未經身份驗證的攻擊者通過多種協議訪問網絡，從而危害Java SE、Java SE Embedded、JRockit。成功攻擊此漏洞會導致未經授權的能力，從而導致Java SE、Java SE Embedded、JRockit的部分拒絕服務（部分拒絕服務）。注意：此漏洞可通過沙盒Java Web Start應用程序和沙盒Java小程序進行攻擊。也可以通過向指定組件中的api提供數據而不使用沙盒javawebstart應用程序或沙盒Java applet（例如通過Web服務）來攻擊它。CVSS 3.0基本得分5.3（可用性影響）。CVSS矢量：(CVSS:3.0/AV：N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L）。 ·CVE-2017-10285 描述：Oracle Java SE的Java SE、Java SE嵌入式組件（子組件：RMI）中存在漏洞。受影響的受支持版本是javase:6u161、7u151、8u144和9；javase Embedded:8u144。易受攻擊的漏洞允許未經身份驗證的攻擊者通過多個協議訪問網絡，從而危害Java SE、Java SE Embedded。成功的攻擊需要攻擊者以外的人與人交互，雖然漏洞存在于javase中，但攻擊可能會嚴重影響其他產品。成功攻擊此漏洞可導致接管Java SE，Java SE Embedded。注意：此漏洞適用于Java部署，通常在運行沙盒Java Web Start應用程序或沙盒Java小程序的客戶端中，這些客戶端加載并運行不受信任的代碼（例如，來自internet的代碼）并依賴Java沙盒來確保安全。此漏洞不適用于僅加載和運行受信任代碼（例如，由管理員安裝的代碼）的Java部署，通常在服務器中。CVSS 3.0基本得分9.6（機密性、完整性和可用性影響）。CVSS矢量：(CVSS:3.0/AV：N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H）。 ·CVE-2017-10295 描述：發現OpenJDK的網絡組件中的HttpURLConnection和HttpsURLConnection類無法檢查url中嵌入的換行字符。如果攻擊者能夠使用攻擊者提供的URL使Java應用程序執行HTTP請求，則可能會向請求中注入額外的標頭。 ·CVE-2017-10345 描述：Oracle Java SE的Java SE、Java SE Embedded、JRockit組件（子組件：序列化）中存在漏洞。受影響的受支持版本是javase:6u161、7u151、8u144和9；javase Embedded:8u144；JRockit:R28.3.15。難以利用的漏洞允許未經身份驗證的攻擊者通過多種協議訪問網絡，從而危害Java SE、Java SE Embedded、JRockit。成功的攻擊需要攻擊者以外的人與人進行交互。成功攻擊此漏洞會導致未經授權的能力，從而導致Java SE、Java SE Embedded、JRockit的部分拒絕服務（部分拒絕服務）。注意：此漏洞可通過沙盒Java Web Start應用程序和沙盒Java小程序進行攻擊。也可以通過向指定組件中的api提供數據而不使用沙盒javawebstart應用程序或沙盒Java applet（例如通過Web服務）來攻擊它。CVSS 3.0基本得分3.1（可用性影響）。CVSS矢量：(CVSS:3.0/AV：N/AC:H/PR:N/UI:R/S:U/C:N/I:N/A:L）。 ·CVE-2017-10346 描述：Oracle Java SE的Java SE、Java SE嵌入式組件（子組件：熱點）中的漏洞。受影響的受支持版本是javase:6u161、7u151、8u144和9；javase Embedded:8u144。易受攻擊的漏洞允許未經身份驗證的攻擊者通過多個協議訪問網絡，從而危害Java SE、Java SE Embedded。成功的攻擊需要攻擊者以外的人與人交互，雖然漏洞存在于javase中，但攻擊可能會嚴重影響其他產品。成功攻擊此漏洞可導致接管Java SE，Java SE Embedded。注意：此漏洞適用于Java部署，通常在運行沙盒Java Web Start應用程序或沙盒Java小程序的客戶端中，這些客戶端加載并運行不受信任的代碼（例如，來自internet的代碼）并依賴Java沙盒來確保安全。此漏洞不適用于僅加載和運行受信任代碼（例如，由管理員安裝的代碼）的Java部署，通常在服務器中。CVSS 3.0基本得分9.6（機密性、完整性和可用性影響）。CVSS矢量：(CVSS:3.0/AV：N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H）。 ·CVE-2017-10347 描述：Oracle Java SE的JRockit組件（子組件：序列化）中的漏洞。受影響的受支持版本是javase:6u161、7u151、8u144和9；javase Embedded:8u144。易受攻擊的漏洞允許未經身份驗證的攻擊者通過多種協議訪問網絡，從而危害Java SE、JRockit。成功攻擊此漏洞會導致未經授權的能力，從而導致Java SE JRockit的部分拒絕服務（部分拒絕服務）。注意：此漏洞適用于Java部署，通常在運行沙盒Java Web Start應用程序或沙盒Java小程序的客戶端中，這些客戶端加載并運行不受信任的代碼（例如，來自internet的代碼）并依賴Java沙盒來確保安全。此漏洞不適用于僅加載和運行受信任代碼（例如，由管理員安裝的代碼）的Java部署，通常在服務器中。CVSS 3.0基本得分5.3（可用性影響）。CVSS矢量：(CVSS:3.0/AV：N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L）。 ·CVE-2017-10348 描述：Oracle Java SE的Java SE、Java SE嵌入式組件（子組件：庫）中存在漏洞。受影響的受支持版本是javase:6u161、7u151、8u144和9；javase Embedded:8u144。易受攻擊的漏洞允許未經身份驗證的攻擊者通過多個協議訪問網絡，從而危害Java SE、Java SE Embedded。成功攻擊此漏洞可導致未經授權的能力，從而導致Java SE、Java SE Embedded的部分拒絕服務（部分DOS）。注意：此漏洞適用于Java部署，通常在運行沙盒Java Web Start應用程序或沙盒Java小程序的客戶端中，這些客戶端加載并運行不受信任的代碼（例如，來自internet的代碼）并依賴Java沙盒來確保安全。此漏洞不適用于僅加載和運行受信任代碼（例如，由管理員安裝的代碼）的Java部署，通常在服務器中。CVSS 3.0基本得分5.3（可用性影響）。CVSS矢量：(CVSS:3.0/AV：N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L）。 ·CVE-2017-10349 描述：Oracle Java SE的Java SE、Java SE嵌入式組件（子組件：JAXP）中存在漏洞。受影響的受支持版本是javase:6u161、7u151、8u144和9；javase Embedded:8u144。易受攻擊的漏洞允許未經身份驗證的攻擊者通過多個協議訪問網絡，從而危害Java SE、Java SE Embedded。成功攻擊此漏洞可導致未經授權的能力，從而導致Java SE、Java SE Embedded的部分拒絕服務（部分DOS）。注意：此漏洞適用于Java部署，通常在運行沙盒Java Web Start應用程序或沙盒Java小程序的客戶端中，這些客戶端加載并運行不受信任的代碼（例如，來自internet的代碼）并依賴Java沙盒來確保安全。此漏洞不適用于僅加載和運行受信任代碼（例如，由管理員安裝的代碼）的Java部署，通常在服務器中。CVSS 3.0基本得分5.3（可用性影響）。CVSS矢量：(CVSS:3.0/AV：N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L）。 ·CVE-2017-10350 描述：Oracle Java SE的Java SE、Java SE嵌入式組件（子組件：JAX-WS）中存在漏洞。受影響的受支持版本是javase:7u151、8u144和9；javase Embedded:8u144。易受攻擊的漏洞允許未經身份驗證的攻擊者通過多個協議訪問網絡，從而危害Java SE、Java SE Embedded。成功攻擊此漏洞可導致未經授權的能力，從而導致Java SE、Java SE Embedded的部分拒絕服務（部分DOS）。注意：此漏洞適用于Java部署，通常在運行沙盒Java Web Start應用程序或沙盒Java小程序的客戶端中，這些客戶端加載并運行不受信任的代碼（例如，來自internet的代碼）并依賴Java沙盒來確保安全。此漏洞不適用于僅加載和運行受信任代碼（例如，由管理員安裝的代碼）的Java部署，通常在服務器中。CVSS 3.0基本得分5.3（可用性影響）。CVSS矢量：(CVSS:3.0/AV：N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L）。 ·CVE-2017-10355 描述：我們發現OpenJDK的Networking組件中的FtpClient實現在默認情況下沒有設置connect和read超時。惡意FTP服務器或中間人攻擊者可以利用此漏洞阻止連接到FTP服務器的Java應用程序的執行。 ·CVE-2017-10356 描述：我們發現OpenJDK的安全組件生成了基于弱密碼的加密密鑰，用于保護存儲在密鑰庫中的私鑰。這使得在攻擊者能夠訪問密鑰存儲時，更容易執行密碼猜測攻擊來解密存儲的密鑰。 ·CVE-2017-10357 描述：Oracle Java SE的Java SE、Java SE嵌入組件（子組件：序列化）中存在漏洞。受影響的受支持版本是javase:6u161、7u151、8u144和9；javase Embedded:8u144。易受攻擊的漏洞允許未經身份驗證的攻擊者通過多個協議訪問網絡，從而危害Java SE、Java SE Embedded。成功攻擊此漏洞可導致未經授權的能力，從而導致Java SE、Java SE Embedded的部分拒絕服務（部分DOS）。注意：此漏洞適用于Java部署，通常在運行沙盒Java Web Start應用程序或沙盒Java小程序的客戶端中，這些客戶端加載并運行不受信任的代碼（例如，來自internet的代碼）并依賴Java沙盒來確保安全。此漏洞不適用于僅加載和運行受信任代碼（例如，由管理員安裝的代碼）的Java部署，通常在服務器中。CVSS 3.0基本得分5.3（可用性影響）。CVSS矢量：(CVSS:3.0/AV：N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L）。 ·CVE-2017-10388 描述：我們發現OpenJDK的Libraries組件中的Kerberos客戶機實現使用了來自純文本部分的sname字段，而不是KDC應答消息的加密部分。中間人攻擊者可能會利用此漏洞將Kerberos服務模擬到充當Kerberos客戶端的Java應用程序中。 ·CVE-2017-3231 描述：Oracle Java SE的Java SE、Java SE嵌入式組件（子組件：網絡）中存在漏洞。受影響的受支持版本是javase:6u131、7u121和8u112；javase Embedded:8u111。易受攻擊的漏洞允許未經身份驗證的攻擊者通過多個協議訪問網絡，從而危害Java SE、Java SE Embedded。成功的攻擊需要攻擊者以外的人與人進行交互。成功攻擊此漏洞可導致對Java SE、Java SE嵌入式可訪問數據的子集進行未經授權的讀取訪問。注意：此漏洞適用于Java部署，通常在運行沙盒Java Web Start應用程序或沙盒Java小程序的客戶端中，這些客戶端加載并運行不受信任的代碼（例如，來自internet的代碼）并依賴Java沙盒來確保安全。此漏洞不適用于僅加載和運行受信任代碼（例如，由管理員安裝的代碼）的Java部署，通常在服務器中。CVSS v3.0基本得分4.3（機密性影響）。 ·CVE-2017-3241 描述：OpenJDK的RMI組件中的RMI注冊中心和DCG實現執行了不可信輸入的反序列化。遠程攻擊者可能利用此漏洞以RMI注冊表或Java RMI應用程序的權限執行任意代碼。 ·CVE-2017-3252 描述：我們發現OpenJDK的JAAS組件沒有使用正確的方法從用戶搜索LDAP查詢的結果中提取用戶DN。巧盡心思構建的用戶LDAP條目可能會導致應用程序使用不正確的DN。 ·CVE-2017-3253 描述：OpenJDK的2D組件執行iTXt和zTXt PNG圖像塊的解析，即使配置為忽略元數據。能夠使Java應用程序解析巧盡心思構建的PNG圖像的攻擊者可能會導致應用程序消耗過多的內存。 ·CVE-2017-3261 描述：Oracle Java SE的Java SE、Java SE嵌入式組件（子組件：網絡）中存在漏洞。受影響的受支持版本是javase:6u131、7u121和8u112；javase Embedded:8u111。易受攻擊的漏洞允許未經身份驗證的攻擊者通過多個協議訪問網絡，從而危害Java SE、Java SE Embedded。成功的攻擊需要攻擊者以外的人與人進行交互。成功攻擊此漏洞可導致對Java SE、Java SE嵌入式可訪問數據的子集進行未經授權的讀取訪問。注意：此漏洞適用于Java部署，通常在運行沙盒Java Web Start應用程序或沙盒Java小程序的客戶端中，這些客戶端加載并運行不受信任的代碼（例如，來自internet的代碼）并依賴Java沙盒來確保安全。此漏洞不適用于僅加載和運行受信任代碼（例如，由管理員安裝的代碼）的Java部署，通常在服務器中。CVSS v3.0基本得分4.3（機密性影響）。 ·CVE-2017-3272 描述：Oracle Java SE的Java SE、Java SE嵌入式組件（子組件：庫）中存在漏洞。受影響的受支持版本是javase:6u131、7u121和8u112；javase Embedded:8u111。易受攻擊的漏洞允許未經身份驗證的攻擊者通過多個協議訪問網絡，從而危害Java SE、Java SE Embedded。成功的攻擊需要攻擊者以外的人與人交互，雖然漏洞存在于javase中，但攻擊可能會嚴重影響其他產品。成功攻擊此漏洞可導致接管Java SE，Java SE Embedded。注意：此漏洞適用于Java部署，通常在運行沙盒Java Web Start應用程序或沙盒Java小程序的客戶端中，這些客戶端加載并運行不受信任的代碼（例如，來自internet的代碼）并依賴Java沙盒來確保安全。此漏洞不適用于僅加載和運行受信任代碼（例如，由管理員安裝的代碼）的Java部署，通常在服務器中。CVSS v3.0基本得分9.6（機密性、完整性和可用性影響）。 ·CVE-2017-3289 描述：Oracle Java SE的Java SE、Java SE嵌入式組件（子組件：熱點）中的漏洞。受影響的受支持版本是javase:7u121和8u112；javase Embedded:8u111。易受攻擊的漏洞允許未經身份驗證的攻擊者通過多個協議訪問網絡，從而危害Java SE、Java SE Embedded。成功的攻擊需要攻擊者以外的人與人交互，雖然漏洞存在于javase中，但攻擊可能會嚴重影響其他產品。成功攻擊此漏洞可導致接管Java SE，Java SE Embedded。注意：此漏洞適用于Java部署，通常在運行沙盒Java Web Start應用程序或沙盒Java小程序的客戶端中，這些客戶端加載并運行不受信任的代碼（例如，來自internet的代碼）并依賴Java沙盒來確保安全。此漏洞不適用于僅加載和運行受信任代碼（例如，由管理員安裝的代碼）的Java部署，通常在服務器中。CVSS v3.0基本得分9.6（機密性、完整性和可用性影響）。 ·CVE-2017-3509 描述：OpenJDK的網絡組件中的HTTP客戶端實現可以在不同的安全上下文中緩存和重用經過NTLM身份驗證的連接。遠程攻擊者可能利用此漏洞使Java應用程序執行使用其他用戶的憑據進行身份驗證的HTTP請求 ·CVE-2017-3511 描述：在OpenJDK的JCE組件中發現了一個不受信任的庫搜索路徑缺陷。本地攻擊者可能會利用此漏洞導致使用JCE的Java應用程序加載攻擊者控制的庫，從而提升其權限。 ·CVE-2017-3526 描述：發現OpenJDK的JAXP組件在解析XML文檔時未能正確地執行解析樹大小限制。能夠使Java應用程序解析巧盡心思構建的XML文檔的攻擊者可以利用此漏洞使其消耗過多的CPU和內存。 ·CVE-2017-3533 描述：在OpenJDK的網絡組件的FTP客戶端實現中發現了一個新行注入缺陷。遠程攻擊者可能利用此漏洞操縱Java應用程序建立的FTP連接。 ·CVE-2017-3539 描述：OpenJDK的安全組件不允許用戶限制Jar完整性驗證所允許的算法集。此漏洞允許攻擊者修改使用弱簽名密鑰或哈希算法的Jar文件的內容。 ·CVE-2017-3544 描述：在OpenJDK的網絡組件的SMTP客戶端實現中發現了一個新行注入缺陷。遠程攻擊者可能利用此漏洞操縱Java應用程序建立的SMTP連接。 ·CVE-2018-2579 描述：我們發現OpenJDK的Libraries組件中的多個加密密鑰類不能正確同步對其內部數據的訪問。這可能會導致多線程Java應用程序對數據應用弱加密，因為使用的密鑰被清零。 ·CVE-2018-2588 描述：我們發現OpenJDK的LDAP組件在將用戶名中的特殊字符添加到LDAP搜索查詢時未能正確編碼。遠程攻擊者可能利用此漏洞操縱LdapLoginModule類執行的LDAP查詢。 ·CVE-2018-2599 描述：我們發現OpenJDK的JNDI組件中的DNS客戶端實現在發送DNS查詢時沒有使用隨機源端口。這會使遠程攻擊者更容易偽造對這些查詢的響應。 ·CVE-2018-2602 描述：我們發現OpenJDK的I18n組件在加載資源包類時可能使用不可信的搜索路徑。本地攻擊者可能利用此漏洞，通過使其Java應用程序加載攻擊者控制的類文件，以另一個本地用戶的身份執行任意代碼。 ·CVE-2018-2603 描述：我們發現OpenJDK的Libraries組件在讀取DER編碼的輸入時未能充分限制分配的內存量。如果Java應用程序解析了攻擊者提供的DER編碼輸入，則遠程攻擊者可能會利用此缺陷使其使用過多的內存。 ·CVE-2018-2618 描述：我們發現OpenJDK的JCE組件中的密鑰協議實現不能保證使用的密鑰有足夠的強度來充分保護生成的共享秘密。這使得通過攻擊密鑰協議而不是使用協商的秘密加密更容易破壞數據加密。 ·CVE-2018-2629 描述：我們發現OpenJDK的JGSS組件在某些情況下無法正確處理本地GSS庫包裝器中的GSS上下文。遠程攻擊者可能使用JGSS生成Java應用程序，以使用先前釋放的上下文。 ·CVE-2018-2633 描述：我們發現OpenJDK的JNDI組件中的LDAPCertStore類無法安全地處理LDAP引用。攻擊者可能利用此漏洞獲取攻擊者控制的證書數據。 ·CVE-2018-2634 描述：OpenJDK的JGSS組件忽略javax.security.auth.useSubjectCredsOnly屬性在使用HTTP/SPNEGO身份驗證時始終使用全局憑據。發現這可能會導致不受信任的Java應用程序意外地使用全局憑據。 ·CVE-2018-2637 描述：我們發現OpenJDK的JMX組件在某些情況下未能正確設置SingleEntryRegistry的反序列化過濾器。遠程攻擊者可能利用此漏洞繞過預期的反序列化限制。 ·CVE-2018-2641 描述：Oracle Java SE的Java SE、Java SE嵌入式組件（子組件：AWT）中存在漏洞。受影響的受支持版本是javase:6u171、7u161、8u152和9.0.1；javase Embedded:8u151。難以利用的漏洞允許未經身份驗證的攻擊者通過多個協議訪問網絡，危害Java SE、Java SE Embedded。成功的攻擊需要攻擊者以外的人與人交互，雖然漏洞存在于javase中，但攻擊可能會嚴重影響其他產品。成功攻擊此漏洞可導致未經授權創建、刪除或修改對關鍵數據或所有Java SE、Java SE嵌入的可訪問數據的訪問。注意：此漏洞適用于Java部署，通常在運行沙盒Java Web Start應用程序或沙盒Java小程序的客戶端中，這些客戶端加載并運行不受信任的代碼（例如，來自internet的代碼）并依賴Java沙盒來確保安全。此漏洞不適用于僅加載和運行受信任代碼（例如，由管理員安裝的代碼）的Java部署，通常在服務器中。CVSS 3.0基本得分6.1（完整性影響）。CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:N/I:H/A:N). ·CVE-2018-2663 描述：Oracle Java SE的Java SE、Java SE Embedded、JRockit組件（子組件：庫）中存在漏洞。受影響的受支持版本有：6u171、7u161、8u152和9.0.1；javase Embedded:8u151；JRockit:R28.3.16。易受攻擊的漏洞允許未經身份驗證的攻擊者通過多種協議訪問網絡，從而危害Java SE、Java SE Embedded、JRockit。成功的攻擊需要攻擊者以外的人與人進行交互。成功攻擊此漏洞會導致未經授權的能力，從而導致Java SE、Java SE Embedded、JRockit的部分拒絕服務（部分拒絕服務）。注意：此漏洞適用于Java的客戶端和服務器部署。此漏洞可通過沙盒Java Web Start應用程序和沙盒Java小程序進行攻擊。也可以通過向指定組件中的api提供數據而不使用沙盒javawebstart應用程序或沙盒Java applet（例如通過Web服務）來攻擊它。CVSS 3.0基本得分4.3（可用性影響）。 ·CVE-2018-2677 描述：Oracle Java SE的Java SE、Java SE嵌入式組件（子組件：AWT）中存在漏洞。受影響的受支持版本是javase:6u171、7u161、8u152和9.0.1；javase Embedded:8u151。易受攻擊的漏洞允許未經身份驗證的攻擊者通過多個協議訪問網絡，從而危害Java SE、Java SE Embedded。成功的攻擊需要攻擊者以外的人與人進行交互。成功攻擊此漏洞可導致未經授權的能力，從而導致Java SE、Java SE Embedded的部分拒絕服務（部分DOS）。注意：此漏洞適用于Java部署，通常在運行沙盒Java Web Start應用程序或沙盒Java小程序的客戶端中，這些客戶端加載并運行不受信任的代碼（例如，來自internet的代碼）并依賴Java沙盒來確保安全。此漏洞不適用于僅加載和運行受信任代碼（例如，由管理員安裝的代碼）的Java部署，通常在服務器中。CVSS 3.0基本得分4.3（可用性影響）。CVSS Vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L). ·CVE-2018-2678 描述：Oracle Java SE的Java SE、Java SE Embedded、JRockit組件（子組件：JNDI）中存在漏洞。受影響的受支持版本有：6u171、7u161、8u152和9.0.1；javase Embedded:8u151；JRockit:R28.3.16。易受攻擊的漏洞允許未經身份驗證的攻擊者通過多種協議訪問網絡，從而危害Java SE、Java SE Embedded、JRockit。成功的攻擊需要攻擊者以外的人與人進行交互。成功攻擊此漏洞會導致未經授權的能力，從而導致Java SE、Java SE Embedded、JRockit的部分拒絕服務（部分拒絕服務）。注意：此漏洞適用于Java的客戶端和服務器部署。此漏洞可通過沙盒Java Web Start應用程序和沙盒Java小程序進行攻擊。也可以通過向指定組件中的api提供數據而不使用沙盒javawebstart應用程序或沙盒Java applet（例如通過Web服務）來攻擊它。CVSS 3.0基本得分4.3（可用性影響）。CVSS Vector：(CVSS:3.0/AV：N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L）。 ·CVE-2018-2790 描述：Oracle Java SE的Java SE、Java SE嵌入式組件（子組件：安全性）中的漏洞。受影響的受支持版本是javase:6u181、7u171、8u162和10；javase Embedded:8u161。難以利用的漏洞允許未經身份驗證的攻擊者通過多個協議訪問網絡，危害Java SE、Java SE Embedded。成功的攻擊需要攻擊者以外的人與人進行交互。成功攻擊此漏洞可導致未經授權更新、插入或刪除對Java SE、Java SE嵌入的可訪問數據的訪問。注意：此漏洞適用于Java部署，通常在運行沙盒Java Web Start應用程序或沙盒Java小程序的客戶端中，這些客戶端加載并運行不受信任的代碼（例如，來自internet的代碼）并依賴Java沙盒來確保安全。此漏洞不適用于僅加載和運行受信任代碼（例如，由管理員安裝的代碼）的Java部署，通常在服務器中。CVSS 3.0基本得分3.1（完整性影響）。CVSS Vector：(CVSS:3.0/AV：N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N）。 ·CVE-2018-2794 描述：Java SE中的漏洞，Oracle Java SE的JRockit組件（子組件：安全性）。受影響的受支持版本是javase:6u181、7u171、8u162、10和JRockit:R28.3.17。難以利用的漏洞允許未經身份驗證的攻擊者登錄到執行Java SE、JRockit的基礎設施，從而危害Java SE、JRockit。成功的攻擊需要攻擊者以外的人與人交互，雖然漏洞存在于Java SE、JRockit中，但攻擊可能會顯著影響其他產品。成功攻擊此漏洞可導致接管Java SE、JRockit。注意：適用于Java的客戶端和服務器部署。此漏洞可通過沙盒Java Web Start應用程序和沙盒Java小程序進行攻擊。也可以通過向指定組件中的api提供數據而不使用沙盒javawebstart應用程序或沙盒Java applet（例如通過Web服務）來攻擊它。CVSS 3.0基本得分7.7（機密性、完整性和可用性影響）。CVSS Vector：(CVSS:3.0/AV：L/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H）。 ·CVE-2018-2795 描述：Oracle Java SE的Java SE，Java SE Embedded，JRockit組件中的漏洞（子組件：安全性）。受影響的受支持版本有：6u181、7u171、8u162和10；javase Embedded:8u161；JRockit:R28.3.17。易受攻擊的漏洞允許未經身份驗證的攻擊者通過多種協議訪問網絡，從而危害Java SE、Java SE Embedded、JRockit。成功攻擊此漏洞會導致未經授權的能力，從而導致Java SE、Java SE Embedded、JRockit的部分拒絕服務（部分拒絕服務）。注意：適用于Java的客戶端和服務器部署。此漏洞可通過沙盒Java Web Start應用程序和沙盒Java小程序進行攻擊。也可以通過向指定組件中的api提供數據而不使用沙盒javawebstart應用程序或沙盒Java applet（例如通過Web服務）來攻擊它。CVSS 3.0基本得分5.3（可用性影響）。CVSS Vector：(CVSS:3.0/AV：N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L）。 ·CVE-2018-2796 描述：Oracle Java SE的Java SE、Java SE Embedded、JRockit組件（子組件：并發）中存在漏洞。受影響的受支持版本有：7u171、8u162和10；javase Embedded:8u161；JRockit:R28.3.17。易受攻擊的漏洞允許未經身份驗證的攻擊者通過多種協議訪問網絡，從而危害Java SE、Java SE Embedded、JRockit。成功攻擊此漏洞會導致未經授權的能力，從而導致Java SE、Java SE Embedded、JRockit的部分拒絕服務（部分拒絕服務）。注意：適用于Java的客戶端和服務器部署。此漏洞可通過沙盒Java Web Start應用程序和沙盒Java小程序進行攻擊。也可以通過向指定組件中的api提供數據而不使用沙盒javawebstart應用程序或沙盒Java applet（例如通過Web服務）來攻擊它。CVSS 3.0基本得分5.3（可用性影響）。CVSS Vector：(CVSS:3.0/AV：N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L）。 ·CVE-2018-2797 描述：Oracle Java SE的Java SE，Java SE Embedded，JRockit組件（子組件：JMX）中存在漏洞。受影響的受支持版本有：6u181、7u171、8u162和10；javase Embedded:8u161；JRockit:R28.3.17。易受攻擊的漏洞允許未經身份驗證的攻擊者通過多種協議訪問網絡，從而危害Java SE、Java SE Embedded、JRockit。成功攻擊此漏洞會導致未經授權的能力，從而導致Java SE、Java SE Embedded、JRockit的部分拒絕服務（部分拒絕服務）。注意：適用于Java的客戶端和服務器部署。此漏洞可通過沙盒Java Web Start應用程序和沙盒Java小程序進行攻擊。也可以通過向指定組件中的api提供數據而不使用沙盒javawebstart應用程序或沙盒Java applet（例如通過Web服務）來攻擊它。CVSS 3.0基本得分5.3（可用性影響）。CVSS Vector：(CVSS:3.0/AV：N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L）。 ·CVE-2018-2798 描述：Oracle Java SE的Java SE，Java SE Embedded，JRockit組件（子組件：AWT）中存在漏洞。受影響的受支持版本有：6u181、7u171、8u162和10；javase Embedded:8u161；JRockit:R28.3.17。易受攻擊的漏洞允許未經身份驗證的攻擊者通過多種協議訪問網絡，從而危害Java SE、Java SE Embedded、JRockit。成功攻擊此漏洞會導致未經授權的能力，從而導致Java SE、Java SE Embedded、JRockit的部分拒絕服務（部分拒絕服務）。注意：適用于Java的客戶端和服務器部署。此漏洞可通過沙盒Java Web Start應用程序和沙盒Java小程序進行攻擊。也可以通過向指定組件中的api提供數據而不使用沙盒javawebstart應用程序或沙盒Java applet（例如通過Web服務）來攻擊它。CVSS 3.0基本得分5.3（可用性影響）。CVSS Vector：(CVSS:3.0/AV：N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L）。 ·CVE-2018-2799 描述：Oracle Java SE的Java SE、Java SE Embedded、JRockit組件（子組件：JAXP）中存在漏洞。受影響的受支持版本有：7u171、8u162和10；javase Embedded:8u161；JRockit:R28.3.17。易受攻擊的漏洞允許未經身份驗證的攻擊者通過多種協議訪問網絡，從而危害Java SE、Java SE Embedded、JRockit。成功攻擊此漏洞會導致未經授權的能力，從而導致Java SE、Java SE Embedded、JRockit的部分拒絕服務（部分拒絕服務）。注意：適用于Java的客戶端和服務器部署。此漏洞可通過沙盒Java Web Start應用程序和沙盒Java小程序進行攻擊。也可以通過向指定組件中的api提供數據而不使用沙盒javawebstart應用程序或沙盒Java applet（例如通過Web服務）來攻擊它。CVSS 3.0基本得分5.3（可用性影響）。CVSS Vector：(CVSS:3.0/AV：N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L）。 ·CVE-2018-2800 描述：Java SE中的漏洞，Oracle Java SE的JRockit組件（子組件：RMI）。受影響的受支持版本是javase:6u181、7u171和8u162；JRockit:R28.3.17。難以利用的漏洞允許未經身份驗證的攻擊者通過多個協議訪問網絡，從而危害Java SE、JRockit。成功的攻擊需要攻擊者以外的人與人進行交互。成功攻擊此漏洞可導致對某些Java SE、JRockit可訪問數據的未經授權的更新、插入或刪除訪問，以及對Java SE、JRockit可訪問數據的子集的未經授權的讀取訪問。注意：只有通過向指定組件中的API提供數據而不使用不受信任的Java Web Start應用程序或不受信任的Java小程序（如通過Web服務）來攻擊此漏洞。CVSS 3.0基本得分4.2（機密性和完整性影響）。CVSS Vector：(CVSS:3.0/AV：N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N）。 ·CVE-2018-2814 描述：Oracle Java SE的Java SE、Java SE嵌入式組件（子組件：熱點）中的漏洞。受影響的受支持版本是javase:6u181、7u171、8u162和10；javase Embedded:8u161。難以利用的漏洞允許未經身份驗證的攻擊者通過多個協議訪問網絡，危害Java SE、Java SE Embedded。成功的攻擊需要攻擊者以外的人與人交互，雖然漏洞存在于javase中，但攻擊可能會嚴重影響其他產品。成功攻擊此漏洞可導致接管Java SE，Java SE Embedded。注意：此漏洞適用于Java部署，通常在運行沙盒Java Web Start應用程序或沙盒Java小程序的客戶端中，這些客戶端加載并運行不受信任的代碼（例如，來自internet的代碼）并依賴Java沙盒來確保安全。此漏洞不適用于僅加載和運行受信任代碼（例如，由管理員安裝的代碼）的Java部署，通常在服務器中。CVSS 3.0基本得分8.3（機密性、完整性和可用性影響）。CVSS Vector：(CVSS:3.0/AV：N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H）。 ·CVE-2018-2815 描述：Oracle Java SE的Java SE、Java SE Embedded、JRockit組件（子組件：序列化）中存在漏洞。受影響的受支持版本有：6u181、7u171、8u162和10；javase Embedded:8u161；JRockit:R28.3.17。易受攻擊的漏洞允許未經身份驗證的攻擊者通過多種協議訪問網絡，從而危害Java SE、Java SE Embedded、JRockit。成功攻擊此漏洞會導致未經授權的能力，從而導致Java SE、Java SE Embedded、JRockit的部分拒絕服務（部分拒絕服務）。注意：適用于Java的客戶端和服務器部署。此漏洞可通過沙盒Java Web Start應用程序和沙盒Java小程序進行攻擊。也可以通過向指定組件中的api提供數據而不使用沙盒javawebstart應用程序或沙盒Java applet（例如通過Web服務）來攻擊它。CVSS 3.0基本得分5.3（可用性影響）。CVSS Vector：(CVSS:3.0/AV：N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L）。 ·CVE-2018-2952 描述：Oracle Java SE的Java SE、Java SE Embedded、JRockit組件（子組件：并發）中存在漏洞。受影響的受支持版本有：6u191、7u181、8u172和10.0.1；javase Embedded:8u171；JRockit:R28.3.18。難以利用的漏洞允許未經身份驗證的攻擊者通過多種協議訪問網絡，從而危害Java SE、Java SE Embedded、JRockit。成功攻擊此漏洞會導致未經授權的能力，從而導致Java SE、Java SE Embedded、JRockit的部分拒絕服務（部分拒絕服務）。注意：適用于Java的客戶端和服務器部署。此漏洞可通過沙盒Java Web Start應用程序和沙盒Java小程序進行攻擊。也可以通過向指定組件中的api提供數據而不使用沙盒javawebstart應用程序或沙盒Java applet（例如通過Web服務）來攻擊它。CVSS 3.0基本得分3.7（可用性影響）。CVSS Vector：(CVSS:3.0/AV：N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L）。 2.受影響的軟件包 ·中標麒麟高級服務器操作系統 V7 ·aarch64架構: java-1.7.0-openjdk、java-1.7.0-openjdk-accessibility、java-1.7.0-openjdk-demo、java-1.7.0-openjdk-devel、java-1.7.0-openjdk-headless、java-1.7.0-openjdk-javadoc、java-1.7.0-openjdk-src ·x86_64架構: java-1.7.0-openjdk、java-1.7.0-openjdk-accessibility、java-1.7.0-openjdk-demo、java-1.7.0-openjdk-devel、java-1.7.0-openjdk-headless、java-1.7.0-openjdk-javadoc、java-1.7.0-openjdk-src ·銀河麒麟高級服務器操作系統 V10 ·aarch64架構: java-1.7.0-openjdk、java-1.7.0-openjdk-accessibility、java-1.7.0-openjdk-demo、java-1.7.0-openjdk-devel、java-1.7.0-openjdk-headless、java-1.7.0-openjdk-javadoc、java-1.7.0-openjdk-src ·x86_64架構: java-1.7.0-openjdk、java-1.7.0-openjdk-accessibility、java-1.7.0-openjdk-demo、java-1.7.0-openjdk-devel、java-1.7.0-openjdk-headless、java-1.7.0-openjdk-javadoc、java-1.7.0-openjdk-src 3.軟件包修復版本 ·中標麒麟高級服務器操作系統 V7 (aarch64、x86_64) java-1.7.0-openjdk-1.7.0.191-2.6.15.5.el7或以上版本 java-1.7.0-openjdk-accessibility-1.7.0.191-2.6.15.5.el7或以上版本 java-1.7.0-openjdk-demo-1.7.0.191-2.6.15.5.el7或以上版本 java-1.7.0-openjdk-devel-1.7.0.191-2.6.15.5.el7或以上版本 java-1.7.0-openjdk-headless-1.7.0.191-2.6.15.5.el7或以上版本 java-1.7.0-openjdk-javadoc-1.7.0.191-2.6.15.5.el7或以上版本 java-1.7.0-openjdk-src-1.7.0.191-2.6.15.5.el7或以上版本 ·銀河麒麟高級服務器操作系統 V10 (aarch64、x86_64) java-1.7.0-openjdk-1.7.0.191-2.6.15.5.el7或以上版本 java-1.7.0-openjdk-accessibility-1.7.0.191-2.6.15.5.el7或以上版本 java-1.7.0-openjdk-demo-1.7.0.191-2.6.15.5.el7或以上版本 java-1.7.0-openjdk-devel-1.7.0.191-2.6.15.5.el7或以上版本 java-1.7.0-openjdk-headless-1.7.0.191-2.6.15.5.el7或以上版本 java-1.7.0-openjdk-javadoc-1.7.0.191-2.6.15.5.el7或以上版本 java-1.7.0-openjdk-src-1.7.0.191-2.6.15.5.el7或以上版本 4.修復方法 方法一：配置源進行升級安裝 1.打開軟件包源配置文件，根據倉庫地址進行修改。 倉庫源地址： 中標麒麟高級服務器操作系統 V7 aarch64:https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/aarch64/ x86_64:https://update.cs2c.com.cn/NS/V7/V7Update6/os/adv/lic/base/x86_64/ 銀河麒麟高級服務器操作系統 V10 aarch64:https://update.cs2c.com.cn/NS/V10/V10-ZJ/os/adv/lic/base/aarch64/ x86_64:https://update.cs2c.com.cn/NS/V10/V10-ZJ/os/adv/lic/base/x86_64/ 2.配置完成后執行更新命令進行升級，命令如下： yum update Packagename 方法二：下載安裝包進行升級安裝 通過軟件包地址下載軟件包，使用軟件包升級命令根據受影響的軟件包 列表進行升級安裝, 命令如下： yum install Packagename 3.升級完成后是否需要重啟服務或操作系統： CVE-2014-3566:需要重啟 java-1.7.0-openjdk 以使漏洞修復生效。 CVE-2016-0686:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2016-0687:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2016-0695:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2016-10165:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2016-3425:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2016-3427:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2016-3458:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2016-3500:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2016-3508:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2016-3550:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2016-3598:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2016-3606:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2016-3610:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2016-5542:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2016-5546:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2016-5547:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2016-5548:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2016-5552:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2016-5554:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2016-5573:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2016-5582:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2016-5597:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-10053:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-10067:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-10074:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-10081:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-10087:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-10089:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-10090:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-10096:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-10101:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-10102:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-10107:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-10108:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-10109:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-10110:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-10115:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-10116:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-10135:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-10193:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-10198:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-10243:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-10274:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-10281:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-10285:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-10295:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-10345:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-10346:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-10347:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-10348:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-10349:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-10350:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-10355:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-10356:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-10357:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-10388:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-3231:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-3241:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-3252:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-3253:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-3261:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-3272:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-3289:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-3509:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-3511:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-3526:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-3533:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-3539:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2017-3544:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2018-2579:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2018-2588:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2018-2599:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2018-2602:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2018-2603:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2018-2618:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2018-2629:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2018-2633:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2018-2634:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2018-2637:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2018-2641:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2018-2663:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2018-2677:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2018-2678:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2018-2790:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2018-2794:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2018-2795:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2018-2796:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2018-2797:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2018-2798:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2018-2799:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2018-2800:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2018-2814:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2018-2815:無需重啟操作系統與服務即可使漏洞修復生效。 CVE-2018-2952:無需重啟操作系統與服務即可使漏洞修復生效。 5.軟件包下載地址 ·中標麒麟高級服務器操作系統 V7 java-1.7.0-op