甲骨文(Oracle)于本周进行了每季度的例行重要补丁更新(Critical Patch Update，CPU)，修复了 301 个安全漏洞，其中有 45 个被列为严重(Critical)等级，在 CVSS 漏洞评分系统上达到 9.8 分，最严重的 CVE-2018-2913 为 10 分。 本周的修复更新涉及到甲骨文旗下的十多款产品，覆盖了 E-Business Suite、Fusion Middleware、Oracle MySQL、Communications、Hospitality、Retail、Java SE 及 PeopleSoft 等。其中漏洞最多的产品为 Fusion Middleware，总共修复了 65 个相关漏洞。其他依次是 Oracle MySQL 的 38 个、Retail 的 31 个与 PeopleSoft 的 24 个。本次甲骨文只修复了 Java SE 上的 12 个漏洞，有 11 个可通过远程进行利用。这是甲骨文 2018 年的最后一次修复更新，也让今年漏洞的总修复量达到了 1119 个。 被列为最高优先级需要修复的漏洞是 CVE-2018-2913 —— 影响了 Oracle GoldenGate，Oracle GoldenGate 是业内成熟的数据容灾与复制产品，也是基于日志的结构化数据复制备份软件。该漏洞属于堆栈缓冲区溢出漏洞，允许未经授权的黑客通过远程进行入侵。相关安全人士指出，相关攻击并不复杂，再加上攻击活动可通过远程执行且不需凭证，黑客还可通过它入侵 GoldenGate，从而影响企业中的其它产品，让情况更加恶化，呼吁企业谨慎对待该漏洞。 还有安全人士指出，甲骨文本季度所修复的 Java 漏洞绝大多数都是针对 Java 8 及更早的版本，只有少数的修复是针对 Java 9，Java 10 与 Java 11；此外，尽管甲骨文即将要在明年 1 月终止对 Java 8 的公开支持，但有大量的企业应用仍在使用 Java 8，如果不升级的话，这些企业未来可能会因此而陷入困境。 最后，甲骨文还是一如继往地鼓励用户立即更新产品，以防黑客利用这些已被公开的安全漏洞。   稿源：开源中国，封面源自网络；

甲骨文计划从 Java 中去除序列化功能，因其在安全方面一直是一个棘手的问题。 Java 序列化也称为 Java 对象序列化，该功能用于将对象编码为字节流…Oracle 的 Java 平台小组的首席架构师 Mark Reinhold 说：“删除序列化是一个长期目标，并且是 Project Amber 的一部分，它专注于面向生产力的 Java 语言功能。” 为了替换当前的序列化技术，一旦记录，会在平台中放置一个小的序列化框架，支持 Java 版本的数据类。该框架可以支持记录图形，开发人员可以插入他们选择的序列化引擎，支持 JSON 或 XML 等格式，从而以安全的方式序列化记录。 但 Reinhold 还不能确定哪个版本的 Java 将具有记录功能。 序列化在 1997 年是一个“可怕的错误”，Reinhold 说。 他估计至少有三分之一甚至是一半的 Java 漏洞涉及序列化，序列化总体上是脆弱的，但具有在简单用例中易于使用的特性。   稿源：开源中国，封面源自网络；