Запушиха сериозна дупка в Oracle Database
Уязвимостта получава базова CVSS оценка от 9.9.
В края на предходната седмица, Oracle заяви, че е адресиран сериозен проблем в Oracle Database, а налагането на обновлението е наложително за всички. Уязвимостта – CVE-2018-3110 – визира версии 11.2.0.4 и 12.2.0.1 (Windows), както и 12.1.0.2 (Windows, Линукс, UNIX), като за последните две версии, Oracle към този момент издадоха пач, който пристигна с юлския пакет с обновления.
Уязвимостта е обвързвана с неточност в Java VM съставния елемент на Oracle Database Server и експлоатирането ѝ може да докара до поемането на цялостен надзор над продукта и придобиването на shell достъп на сървъра, на който е ситуирана базата данни. Успокояващото в тази ситуация е, че атакуващата страна не може да я експлоатира по далечен достъп без автентикация. Освен това фиксът не е ориентиран към потребителски съоръжения (т.е. такива без Database Server – б.а.).
„Лесно експлоатируема накърнимост разрешава на атакуваща страна с ниски привилегии на достъп – имащ достъп до Create Session чрез Oracle Net – да компрометира инстанция на Java VM. Макар и казусът да е в Java VM, офанзивите могат да обиден доста и други артикули. Атака от този жанр може да разреши цялостното завладяване на виртуалната машина на основа на Java VM“, пишат Oracle в бюлетина, съпътстващ обновлението.
В края на предходната седмица, Oracle заяви, че е адресиран сериозен проблем в Oracle Database, а налагането на обновлението е наложително за всички. Уязвимостта – CVE-2018-3110 – визира версии 11.2.0.4 и 12.2.0.1 (Windows), както и 12.1.0.2 (Windows, Линукс, UNIX), като за последните две версии, Oracle към този момент издадоха пач, който пристигна с юлския пакет с обновления.
Уязвимостта е обвързвана с неточност в Java VM съставния елемент на Oracle Database Server и експлоатирането ѝ може да докара до поемането на цялостен надзор над продукта и придобиването на shell достъп на сървъра, на който е ситуирана базата данни. Успокояващото в тази ситуация е, че атакуващата страна не може да я експлоатира по далечен достъп без автентикация. Освен това фиксът не е ориентиран към потребителски съоръжения (т.е. такива без Database Server – б.а.).
„Лесно експлоатируема накърнимост разрешава на атакуваща страна с ниски привилегии на достъп – имащ достъп до Create Session чрез Oracle Net – да компрометира инстанция на Java VM. Макар и казусът да е в Java VM, офанзивите могат да обиден доста и други артикули. Атака от този жанр може да разреши цялостното завладяване на виртуалната машина на основа на Java VM“, пишат Oracle в бюлетина, съпътстващ обновлението.
Източник: kaldata.com
КОМЕНТАРИ