Oracle数据库Java虚拟机漏洞
发布时间 2018-08-13漏洞编号和级别
CVE-2018-3110,高危,厂商自评:9.9,官方未评定
影响版本
Oracle数据库 18c,Oracle数据库Windows版11.2.0.4与12.2.0.1,同时对全平台12.1.0.2且未应用2018年7月CPU的版本也会产生影响,老版本很可能均会受到其影响。
2018年8月10日,Oracle发布安全通告,对Oracle数据库服务器中Java虚拟机存在的漏洞CVE-2018-3110进行了预警。此漏洞CVSS评分为9.9分,影响较为严重,用户应及时进行更新。此漏洞与2018年7月发布的CPU中的CVE-2018-3004同源,攻击方式更为简化。此漏洞会被攻击者利用通过Oracle Net攻击Java虚拟机,虽然此漏洞存在于Java虚拟机中,但可被利用来攻击其他的产品与服务。攻击者攻击成功后可接管整个Java虚拟机。这个漏洞是需要前提条件的,CVE-2018-3110 需要一个数据库用户,具备最基本的CREATE SESSION,也就是说能够创建会话,连接到数据库。然后,基于对于公共 JAVA 对象的访问,获得权限提升,直至全部控制数据库。
修复建议
|
Affected Products and Versions |
Patch Availability Document |
|
Oracle Database Server, versions 11.2.0.4, 12.1.0.2, 12.2.0.1, 18 |
漏洞补丁仅适用于拥有Premier Support以及Extended Support服务的产品,不在此列的产品并未测试是否会受到此漏洞影响,但是仍旧推荐用户升级到更高级的服务以获取安全补丁。
参考链接
https://nvd.nist.gov/vuln/detail/CVE-2018-3110
京公网安备11010802024551号