Infrasightlabs
Oracle ha enviat una advertència de grau sever a tots els seus usuaris per actualitzar instantàniament els seus sistemes a les últimes versions llançades. Existeix una vulnerabilitat de seguretat al component de la màquina virtual Java del servidor de bases de dades d’Oracle que es podria explotar per comprometre’s i provocar una sana presa de Java VM.
Segons els detalls publicat sobre la vulnerabilitat doblada CVE-2018-3110 , el defecte afecta les versions 11.2.0.4 i 12.2.0.1 de la base de dades Oracle al Windows. Afecta la versió 12.1.0.2 en dispositius Windows i Linux / Unix. Els usuaris que es trobin utilitzant aquestes versions sense haver aplicat la CPU de juliol de 2018 haurien d’actualitzar immediatament els seus sistemes.
Es considera que la vulnerabilitat és fàcilment explotable, cosa que permet a un atacant amb privilegis baixos comprometre la màquina virtual Java amb permisos de creació de sessió i accés a la xarxa a través d’Oracle Net. És lògic que aquesta vulnerabilitat de risc elevat i fàcil d’explotar hagi rebut una puntuació base CVSSS 3.0 de 9,9, ja que Oracle contacta amb tots els seus clients per demanar-los urgentment que actualitzin els seus sistemes. La vulnerabilitat afecta la confidencialitat, la integritat i la disponibilitat.
Els usuaris han de tenir en compte que les actualitzacions publicades per Oracle per a aquestes vulnerabilitats en els seus productes afectats només es limiten a les versions de productes que es cobreixen sota el suport principal de les fases d'assistència ampliada de la política d'assistència de per vida. També es creu que les versions anteriors dels productes en qüestió són potencialment vulnerables al mateix tipus de compromís del sistema. Els usuaris que encara treballin amb versions anteriors de la base de dades Oracle també haurien d’actualitzar els seus sistemes immediatament.
Segons la matriu de risc publicada per Oracle sobre aquesta vulnerabilitat, l'explotació no és possible de forma remota sense autorització. És un atac relativament menys complex i els seus impactes sobre la confidencialitat, la integritat i la disponibilitat són elevats. El vector d'atac per a l'explotació és Network i l'únic paquet o privilegi necessari és Create Session.
