Уязвимостта получава базова CVSS оценка от 9.9.

В края на миналата седмица, Oracle съобщи, че е адресиран сериозен проблем в Oracle Database, а налагането на обновлението е задължително за всички. Уязвимостта – CVE-2018-3110 – засяга версии 11.2.0.4 и 12.2.0.1 (Windows), както и 12.1.0.2 (Windows, Линукс, UNIX), като за последните две версии, Oracle вече издадоха пач, който дойде с юлския пакет с обновления.

Уязвимостта е свързана с грешка в Java VM компонента на Oracle Database Server и експлоатирането ѝ може да доведе до поемането на пълен контрол над продукта и придобиването на shell достъп на сървъра, на който е разположена базата данни. Успокояващото в случая е, че атакуващата страна не може да я експлоатира по отдалечен достъп без автентикация. Освен това фиксът не е насочен към клиентски инсталации (т.е. такива без Database Server – б.а.).

„Лесно експлоатируема уязвимост позволява на атакуваща страна с ниски привилегии на достъп – имащ достъп до Create Session посредством Oracle Net – да компрометира инстанция на Java VM. Макар и проблемът да е в Java VM, атаките могат да засегнат значително и други продукти. Атака от този род може да позволи пълното превземане на виртуалната машина на основа на Java VM“, пишат Oracle в бюлетина, придружаващ обновлението.

ДОБАВИ КОМЕНТАР

  Абонирай се  
Извести ме за