Infrasightlabs
Společnost Oracle zaslala všem svým uživatelům přísné varování, aby okamžitě aktualizovali své systémy na nejnovější vydané verze. V komponentě Java VM databázového serveru Oracle existuje chyba zabezpečení, kterou by bylo možné zneužít ke kompromisu a ke zdravému převzetí Java VM.
Podle podrobností zveřejněno o přezdívané zranitelnosti CVE-2018-3110 , chyba ovlivňuje verze 11.2.0.4 a 12.2.0.1 databáze Oracle ve Windows. Ovlivňuje verze 12.1.0.2 na zařízeních s Windows a Linux / Unix. Uživatelé, kteří zjistí, že používají tyto verze, aniž by použili procesor z července 2018, by měli okamžitě upgradovat své systémy.
Tato chyba zabezpečení je považována za snadno zneužitelnou, což umožňuje útočníkovi s nízkými oprávněními napadnout virtuální počítač Java pomocí oprávnění Vytvořit relaci a síťového přístupu prostřednictvím Oracle Net. Dává smysl, že tato snadno zneužitelná a vysoce riziková zranitelnost získala základní skóre CVSSS 3.0 9,9, protože společnost Oracle oslovuje všechny své zákazníky, aby je urgentně požádali o upgrade svých systémů. Tato chyba zabezpečení má vliv na důvěrnost, integritu a dostupnost.
Uživatelé by si měli uvědomit, že aktualizace vydané společností Oracle pro tyto chyby zabezpečení v jejích ovlivněných produktech jsou omezeny pouze na ty verze produktů, na které se vztahuje Premier podpora fází rozšířené podpory v zásadách doživotní podpory. Starší verze dotyčných produktů jsou také považovány za potenciálně zranitelné vůči stejnému druhu kompromisu systému. Uživatelé, kteří stále pracují se staršími verzemi databáze Oracle, by měli také okamžitě upgradovat své systémy.
Podle matice rizik zveřejněné společností Oracle o této chybě zabezpečení není zneužití možné bez povolení na dálku. Jedná se o relativně méně složitý útok a jeho dopady na důvěrnost, integritu a dostupnost jsou vysoké. Vektor útoku pro zneužití je Síť a jediným požadovaným balíčkem nebo privilegiem je Vytvořit relaci.
