Infrasightlabs
Az Oracle súlyos fokú figyelmeztetést küldött minden felhasználójának, hogy rendszerüket azonnal frissítsék a legújabb kiadásokra. Az Oracle adatbázis-kiszolgáló Java virtuális gép-összetevőjében van egy biztonsági rés, amelyet kihasználva kompromisszumokat hozhat létre, és a Java virtuális gép egészséges átvételét okozhatja.
A részletek szerint közzétett a szinkronizált sebezhetőségre CVE-2018-3110 , a hiba a Windows Oracle adatbázis 11.2.0.4 és 12.2.0.1 verzióit érinti. A 12.1.0.2 verziót érinti Windows és Linux / Unix eszközökön. Azoknak a felhasználóknak, akik úgy találják magukat, hogy nem használják a 2018. júliusi CPU-kat, azonnal frissíteniük kell a rendszerüket.
A biztonsági rést könnyen kihasználhatónak tekintik, amely lehetővé teszi, hogy az alacsony jogosultságú támadók veszélybe sodorják a Java virtuális gépet a Session létrehozása jogosultságokkal és az Oracle Neten keresztüli hálózati hozzáféréssel. Ésszerű, hogy ez a könnyen kihasználható és nagy kockázatú sebezhetőség 9,9 CVSSS 3.0 alapértéket kapott, mivel az Oracle minden ügyfeléhez fordul, hogy sürgősen felkérje őket a rendszerük frissítésére. A biztonsági rés hatással van a titoktartásra, az integritásra és az elérhetőségre.
A felhasználóknak tudomásul kell venniük, hogy az Oracle által az érintett termékek biztonsági rései miatt kiadott frissítések csak azokra a termékverziókra korlátozódnak, amelyekre az élettartam-támogatási irányelv kibővített támogatási szakaszainak Premier támogatása vonatkozik. Úgy gondolják, hogy a szóban forgó termékek régebbi verziói is veszélyeztetettek az azonos típusú kompromisszumokkal szemben. Az Oracle Database régebbi verzióival továbbra is dolgozó felhasználóknak azonnal frissíteniük kell a rendszerüket.
Az Oracle által a biztonsági résről közzétett kockázati mátrix szerint a kihasználás nem lehetséges távolról engedély nélkül. Ez egy viszonylag kevésbé összetett támadás, és a titoktartásra, integritásra és elérhetőségre gyakorolt hatása nagy. A kihasználás támadási vektora a Hálózat, és az egyetlen szükséges csomag vagy jogosultság a Session létrehozása.
