Infrasightlabs
Oracle har skickat ut en allvarlig klassvarning till alla användare att omedelbart uppdatera sina system till de senaste versionerna. Det finns en säkerhetsproblem i Java VM-komponenten i Oracles databasserver som kan utnyttjas för att kompromissa och orsaka en hälsosam övertagande av Java VM.
Enligt detaljerna publiceras om den sårbarhet som kallas CVE-2018-3110 , påverkar felet versionerna 11.2.0.4 och 12.2.0.1 av Oracle-databasen på Windows. Det påverkar version 12.1.0.2 på Windows- och Linux / Unix-enheter. Användare som befinner sig i att använda dessa versioner utan att ha tillämpat CPU i juli 2018 bör omedelbart uppgradera sina system.
Sårbarheten betraktas som lätt att utnyttja så att en lågprivilegerad angripare kan äventyra Java-VM med Create Session-behörigheter och nätverksåtkomst via Oracle Net. Det är vettigt att denna lättutnyttjbara och högriskproblem har fått en CVSSS 3.0-baspoäng på 9.9 när Oracle når ut till alla sina kunder för att snarast be dem att uppgradera sina system. Sårbarheten påverkar konfidentialitet, integritet och tillgänglighet.
Användare bör notera att de uppdateringar som Oracle släpper för dessa sårbarheter i dess drabbade produkter endast är begränsade till de produktversioner som omfattas av Premier Support för de utökade supportfaserna i Lifetime Support Policy. Äldre versioner av produkterna i fråga anses också vara potentiellt sårbara för samma typ av systemkompromiss. Användare som fortfarande arbetar med äldre versioner av Oracle Database bör också uppgradera sina system omedelbart.
Enligt den riskmatris som Oracle publicerade om denna sårbarhet är exploateringen inte möjlig på distans utan tillstånd. Det är en relativt mindre komplex attack och dess inverkan på konfidentialitet, integritet och tillgänglighet är hög. Attackvektorn för exploateringen är nätverk och det enda paketet eller behörigheten som krävs är Create Session.
