Kakulangan sa kakayahan sa Java VM Component ng Oracle Database ay nagbibigay-daan para sa Buong System na Pagkompromiso

Balita
Seguridad / Kakulangan sa kakayahan sa Java VM Component ng Oracle Database ay nagbibigay-daan para sa Buong System na Pagkompromiso 1 minuto basahin

Mga Infrasightlab



Nagpadala ang Oracle ng isang matinding babala sa marka sa lahat ng mga gumagamit nito upang agad na mai-update ang kanilang mga system sa pinakabagong mga bersyon na inilabas. Mayroong isang kahinaan sa seguridad sa bahagi ng Java VM ng database ng server ng Oracle na maaaring samantalahin upang makompromiso at maging sanhi ng isang mabuting pagkuha ng Java VM.

Ayon sa mga detalye nalathala sa kahinaan na tinawag CVE-2018-3110 , ang kapintasan ay nakakaapekto sa mga bersyon 11.2.0.4 at 12.2.0.1 ng Oracle database sa Windows. Nakakaapekto ito sa mga bersyon 12.1.0.2 sa mga aparatong Windows at Linux / Unix. Ang mga gumagamit na nahahanap ang kanilang sarili na gumagamit ng mga bersyon na ito nang hindi nailapat ang Hulyo 2018 na CPU ay dapat na agad na mag-upgrade ng kanilang mga system.



Ang kahinaan ay itinuturing na madaling mapakinabangan na nagpapahintulot sa isang mababang pribilehiyo na magsasalakay na ikompromiso ang Java VM na may mga pahintulot sa Lumikha ng Session at pag-access sa network sa pamamagitan ng Oracle Net. Makatuwiran na ang madaling pagsamantalahan at mataas na peligro na ito ay nakatanggap ng isang marka ng batayang CVSSS 3.0 na 9.9 habang inaabot ng Oracle ang lahat ng mga customer nito upang mapilit na magtanong sa kanila na i-upgrade ang kanilang mga system. Ang kahinaan ay nakakaapekto sa pagiging kompidensiyal, integridad, at kakayahang magamit.



Dapat tandaan ng mga gumagamit na ang mga pag-update na inilabas ng Oracle para sa mga kahinaan na ito sa mga apektadong produkto ay limitado lamang sa mga bersyon ng produkto na sakop sa ilalim ng Premier Support ng mga Extension na yugto ng Suporta ng Patakaran sa Pamuhay ng Suporta. Ang mga mas lumang bersyon ng mga produktong pinag-uusapan ay naisip din na maaaring maging mahina laban sa parehong uri ng kompromiso ng system. Ang mga gumagamit na nagtatrabaho pa rin sa mga mas lumang bersyon ng Oracle Database ay dapat na mag-upgrade kaagad ng kanilang mga system.



Ayon sa panganib matrix na inilathala ng Oracle sa kahinaan na ito, ang pagsasamantala ay hindi posible nang malayuan nang walang pahintulot. Ito ay isang medyo mas kumplikadong atake at ang mga epekto nito sa pagiging kompidensiyal, integridad, at kakayahang magamit ay mataas. Ang vector ng pag-atake para sa pagsasamantala ay Network at ang tanging package o pribilehiyo na kinakailangan ay Lumikha ng Session.