Infraplaadid
Oracle on saatnud kõigile oma kasutajatele tõsise palgaastmega hoiatuse, et nad värskendaksid oma süsteeme viivitamatult uusimatele versioonidele. Oracle'i andmebaasiserveri Java VM-i komponendis on turvanõrkus, mida saab ära kasutada Java VM-i kompromiteerimiseks ja tervislikuks ülevõtmiseks.
Vastavalt detailidele avaldatud dubleeritud haavatavuse kohta CVE-2018-3110 , mõjutab viga Windowsi Oracle'i andmebaasi versioone 11.2.0.4 ja 12.2.0.1. See mõjutab Windowsi ja Linuxi / Unixi seadmete versiooni 12.1.0.2. Kasutajad, kes leiavad, et kasutavad neid versioone ilma 2018. aasta juuli protsessorit rakendamata, peaksid oma süsteemid viivitamatult täiendama.
Haavatavust peetakse hõlpsasti ärakasutatavaks, mis võimaldab madala privilegeeritud ründajal seada Java VM-i ohtu looma Sessioni loomise õiguste ja võrgule juurdepääsu kaudu Oracle Net'i kaudu. On mõistlik, et see hõlpsasti kasutatav ja kõrge riskiga haavatavus on saanud CVSSS 3.0 baasskoori 9,9, kui Oracle pöördub kõigi oma klientide poole ja palub neil kiiresti oma süsteeme uuendada. Haavatavus mõjutab konfidentsiaalsust, terviklikkust ja kättesaadavust.
Kasutajad peaksid arvestama, et Oracle'i poolt nende mõjutatud toodete haavatavuste jaoks välja antud värskendused piirduvad ainult nende tooteversioonidega, mis on hõlmatud eluaegse tugipoliitika laiendatud tugifaaside esmatoega. Arvatakse, et kõnealuste toodete vanemad versioonid võivad olla samasuguste süsteemikompromisside suhtes potentsiaalselt haavatavad. Kasutajad, kes töötavad endiselt Oracle'i andmebaasi vanemate versioonidega, peaksid oma süsteeme ka kohe täiendama.
Oracle'i selle haavatavuse kohta avaldatud riskimaatriksi kohaselt pole kaugjuhtimine ilma autoriseerimiseta võimalik. See on suhteliselt vähem keeruline rünnak ja selle mõju konfidentsiaalsusele, terviklikkusele ja kättesaadavusele on suur. Kasutamise ründevektor on Network ja ainus vajalik pakett või privileeg on Create Session.
