Infrasightlabs
Oracle je vsem svojim uporabnikom poslal strogo opozorilo, naj takoj posodobijo svoje sisteme na najnovejše izdane različice. V komponenti Java VM na Oraclovem strežniku baz podatkov obstaja varnostna ranljivost, ki bi jo lahko izkoristili, da bi ogrozili in povzročili celovit prevzem Java VM.
Glede na podrobnosti objavljeno o ranljivosti, poimenovani CVE-2018-3110 , napaka vpliva na različici 11.2.0.4 in 12.2.0.1 baze podatkov Oracle v sistemu Windows. Vpliva na različice 12.1.0.2 v napravah Windows in Linux / Unix. Uporabniki, ki se znajdejo v uporabi teh različic, ne da bi uporabili CPU julija 2018, bi morali takoj nadgraditi svoje sisteme.
Šteje se, da je ranljivost enostavno izkoriščljiva in omogoča nizko privilegiranemu napadalcu, da ogrozi Java VM z dovoljenji Create Session in dostopom do omrežja prek Oracle Net. Smiselno je, da je ta zlahka izkoristljiva in visoko tvegana ranljivost prejela osnovno oceno CVSSS 3.0 9,9, saj se Oracle obrne na vse svoje stranke, da jih nujno prosijo za nadgradnjo svojih sistemov. Ranljivost vpliva na zaupnost, celovitost in razpoložljivost.
Uporabniki bi morali upoštevati, da so posodobitve, ki jih je Oracle izdal za te ranljivosti v svojih prizadetih izdelkih, omejene samo na tiste različice izdelkov, ki so zajete v glavni podpori faz razširjene podpore v politiki življenjske podpore. Tudi starejše različice zadevnih izdelkov so potencialno ranljive za enak sistemski kompromis. Uporabniki, ki še vedno delajo s starejšimi različicami Oracle Database, bi morali tudi takoj nadgraditi svoje sisteme.
V skladu z matriko tveganj, ki jo je o tej ranljivosti objavil Oracle, izkoriščanje ni dovoljeno na daljavo brez dovoljenja. Gre za sorazmerno manj zapleten napad, ki vpliva na zaupnost, celovitost in razpoložljivost. Vektor napada za izkoriščanje je Network in edini potreben paket ali privilegij je Create Session.
