Корпорация Oracle обратилась к своим клиентам с настоятельной рекомендацией срочно установить обновление к критической уязвимости CVE-2018-3110. Эта уязвимость затрагивает несколько версий Oracle Database Server, и степень угрозы её угрозы оценивается в 9,9 балла по десятибалльной шкале.
По утверждению пресс-службы компании, успешная эксплуатация уязвимости может привести к «полной компрометации базы данных Oracle и обеспечить shell-доступ к серверу, на котором эта база функционирует».
Уязвимостью затронуты четыре версии Database Server: 11.2.0.4, 12.1.0.2, 12.2.0.1 и 18.
«Степень угрозы от уязвимости определяется возможными последствиями и простотой её эксплуатации, - указывает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. - 9,9 баллов – это практически максимальная степень риска, а значит срочная реакция администраторов в данном случае абсолютно необходима. В последние дни выпущено очень большое количество важных обновлений, но администраторам баз данных Oracle следует установить исправления для CVE-2018-3110 в приоритетном порядке».
Злоумышленников мало что остановит
Сама по себе уязвимость выявления в виртуальной машине Java (JavaVM), используемой в Oracle Database Server. Строго говоря, этот баг не удастся эксплуатировать удалённо: потенциальный злоумышленник должен иметь доступ к серверу через Oracle Net, протокол, который серверы Oracle используют для соединения с клиентскими приложениями. Но в остальном произвести эксплуатацию этой уязвимости - и через неё захватить контроль над сервером - задача несложная.
«Легко эксплуатируемая уязвимость позволяет потенциальному злоумышленнику с низкими правами в системе, обладающему привилегией Create Session (создание сессии) и доступом через Oracle Net, скомпрометировать виртуальную машину Java. Хотя сама уязвимость присутствует в JavaVM, атаки на неё могут существенно повлиять на другие продукты [Oracle]. Успешная атака позволяет захватить контроль над JavaVM», - говорится в описании, приведённом в Национальной базе уязвимостей (NVD).
Технические подробности об этой уязвимости до сих пор нигде не опубликованы.
Источник: CNEWS