Vulnerabilidade no componente Java VM do banco de dados Oracle permite o comprometimento de todo o sistema

Notícia
Segurança / Vulnerabilidade no componente Java VM do banco de dados Oracle permite o comprometimento de todo o sistema 1 minuto lido

Infrasightlabs



A Oracle enviou um aviso de grau severo a todos os seus usuários para que atualizem instantaneamente seus sistemas para as últimas versões lançadas. Existe uma vulnerabilidade de segurança no componente Java VM do servidor de banco de dados Oracle que pode ser explorada para comprometer e causar uma aquisição integral do Java VM.

De acordo com os detalhes Publicados sobre a vulnerabilidade apelidada CVE-2018-3110 , a falha afeta as versões 11.2.0.4 e 12.2.0.1 do banco de dados Oracle no Windows. Afeta as versões 12.1.0.2 em dispositivos Windows e Linux / Unix. Os usuários que estiverem usando essas versões sem ter aplicado a CPU de julho de 2018 devem atualizar imediatamente seus sistemas.



A vulnerabilidade é considerada facilmente explorável, permitindo que um invasor com poucos privilégios comprometa o Java VM com as permissões Criar Sessão e acesso à rede através do Oracle Net. Faz sentido que essa vulnerabilidade facilmente explorável e de alto risco tenha recebido uma pontuação básica CVSSS 3.0 de 9,9, já que a Oracle alcança todos os seus clientes para pedir-lhes urgentemente que atualizem seus sistemas. A vulnerabilidade afeta a confidencialidade, integridade e disponibilidade.



Os usuários devem observar que as atualizações lançadas pela Oracle para essas vulnerabilidades em seus produtos afetados são limitadas apenas às versões do produto que são cobertas pelo Suporte Premier das fases de Suporte Estendido da Política de Suporte Vitalício. As versões mais antigas dos produtos em questão também são consideradas potencialmente vulneráveis ​​ao mesmo tipo de comprometimento do sistema. Os usuários que ainda trabalham com versões anteriores do banco de dados Oracle devem atualizar seus sistemas imediatamente.



De acordo com a matriz de risco publicada pela Oracle sobre esta vulnerabilidade, a exploração não é possível remotamente sem autorização. É um ataque relativamente menos complexo e seus impactos sobre a confidencialidade, integridade e disponibilidade são altos. O vetor de ataque para o exploit é Rede e o único pacote ou privilégio necessário é Criar Sessão.