甲骨文資料庫修復嚴重漏洞

GIF

聚焦源代碼安全，網羅國內外最新資訊！

翻譯：360代碼衛士團隊

上周五，甲骨文通知客戶稱其資料庫產品受嚴重漏洞影響，並已發布補丁，建議用戶儘快安裝。

該漏洞的編號是 CVE-2018-3110，CVSS 評分是 9.9，影響 Windows 上的甲骨文資料庫 11.2.0.4 和 12.2.0.1版本。Windows 上的版本12.1.0.2 和運行在 Unix或 Linux 上的資料庫也受影響，不過這些版本的補丁也包含在甲骨文的2018年7月的 CPU通告中。

這個漏洞存在於甲骨文資料庫伺服器的 Java VM 組件中，可被用於完全控制產品並獲得對底層伺服器的 shell 訪問許可權。

然而，甲骨文注意到該弱點無法遭未經認證的遠程利用，而修復方案並不應用於僅有客戶端的安裝程序（即並不具備 Database Server 安裝程序）。

甲骨文在安全公告中表示，輕易可遭利用的漏洞允許擁有網路訪問許可權的「創建會話」許可權低許可權攻擊者經由甲骨文 Net 攻陷 Java VM。雖然這個漏洞存在於 Java VM 中，但攻擊可能也會對其它產品產生重大影響。漏洞如遭成功攻擊，則可導致 Java VM 遭控制。

甲骨文「強烈消費者立即採取措施」解決漏洞 CVE-2018-3110，這讓有些人懷疑甲骨文是否認為利用的風險是否高。

https://www.securityweek.com/critical-vulnerability-patched-oracle-database

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！