Kritična ranjivost u Oracle Database proizvodu, instalirajte patch odmah!

Koliko je ozbiljna ranjivost govori i CVSS ocena 9,9 od maksimalnih 10!

Kritična ranjivost u Oracle Database proizvodu, instalirajte patch odmah!

U petak, 10. avgusta, Oracle je objavio bezbednosne zakrpe za kritičnu ranjivost CVE-2018-3110 svog Database proizvoda. Oracle preporučuje da se patch instalira što pre.

Koliko je ozbiljna ranjivost u pitanju govori i CVSS ocena 9,9 (10 je najveća moguća opasnost). Oracle je izdao zakrpe i iz kompanije apeluju na korisnike da ih primene u najkraćem mogućem roku. Ranjivost se nalazi u Java VM komponenti Oracle Database servera, a napadač sa udaljene lokacije može da se autentifikuje i preuzme potpunu kontrolu i shell pristup serveru.

U opasnosti su Oracle Database verzije 11.2.0.4, 12.2.0.1, 12.1.0.2 i 18 na Windowsu, kao i verzija 12.1.0.2 za Unix ili Linux.

Iz Orakla navode da haker sa niskim stepenom privilegija može lako da eksploatiše ranjivost tako što će dobiti privilegije za kreiranje sesije sa mrežnim pristupom preko Oracle Neta kako bi kompromitovao Java VM. Iako se ranjivost nalazi u Java VM, napadi mogu da ostave značajne posledice i po druge proizvode. Uspešan napad može da dovede do preuzimanja Java VM-a.

Za verziju 12.1.0.2 Oracle je izbacio zakrpe još u julu (i za Windows i za Unix/Linux). Zbog ozbiljnosti situacije, Oracle preporučuje da korisnici odmah urade zakrpe. To znači sledeće:

  1. Korisnici Oracle Database verzija 11.2.0.4 i 12.2.0.1 za Windows bi trebalo da preuzmu i instaliraju zakrpe sa ovog linka.
  2. Korisnici Oracle Database verzije 12.1.0.2 za Windows ili bilo koje verzije za Linux/Unix bi trebalo da preuzmu zakrpu iz jula sa ovog linka, ukoliko to do sada nisu uradili.

Izvor: Security Affairs