聚焦源代码安全,网罗国内外最新资讯!
翻译:360代码卫士团队
上周五,甲骨文通知客户称其数据库产品受严重漏洞影响,并已发布补丁,建议用户尽快安装。
该漏洞的编号是 CVE-2018-3110,CVSS 评分是 9.9,影响 Windows 上的甲骨文数据库 11.2.0.4 和 12.2.0.1版本。Windows 上的版本12.1.0.2 和运行在 Unix或 Linux 上的数据库也受影响,不过这些版本的补丁也包含在甲骨文的2018年7月的 CPU通告中。
这个漏洞存在于甲骨文数据库服务器的 Java VM 组件中,可被用于完全控制产品并获得对底层服务器的 shell 访问权限。
然而,甲骨文注意到该弱点无法遭未经认证的远程利用,而修复方案并不应用于仅有客户端的安装程序(即并不具备 Database Server 安装程序)。
甲骨文在安全公告中表示,轻易可遭利用的漏洞允许拥有网络访问权限的“创建会话”权限低权限攻击者经由甲骨文 Net 攻陷 Java VM。虽然这个漏洞存在于 Java VM 中,但攻击可能也会对其它产品产生重大影响。漏洞如遭成功攻击,则可导致 Java VM 遭控制。
甲骨文“强烈消费者立即采取措施”解决漏洞 CVE-2018-3110,这让有些人怀疑甲骨文是否认为利用的风险是否高。
https://www.securityweek.com/critical-vulnerability-patched-oracle-database
领取专属 10元无门槛券
私享最新 技术干货