
Oracle настоятельно рекомендует пользователям пропатчить свои установки Oracle Database, чтобы устранить критическую уязвимость, которая может привести к полной компрометации объектно-реляционной системы управления базами данных.
Уязвимость, получившая идентификатор CVE-2018-3110, затрагивает Windows-версии Oracle Database 11.2.0.4 и 12.2.0.1.
Эту брешь легко проэксплуатировать, что может осуществить аутентифицированный злоумышленник удаленно.
Проблема безопасности находится непосредственно в компоненте системы Java Virtual Machine. Он не требует взаимодействия с пользователем и позволяет злоумышленникам, имеющим привилегии Create Session с сетевым доступом через Oracle Net, скомпрометировать компонент.
«CVE-2018-3110 также влияет на Oracle Database версии 12.1.0.2 в системах Windows, Linux и Unix. Для Linux и Unix патч был выпущен еще в июле 2018 года», — пишет Oracle в рекомендациях. — «Клиенты, работающие с версиями Oracle Database 11.2.0.4 и 12.2.0.1 в Windows, должны как можно скорее установить обновления безопасности».
Уточняется, что вышедший патч нельзя применить к инсталляциям, на которых не установлен Oracle Database Server.
«Из-за характера этой уязвимости Oracle настоятельно рекомендует клиентам незамедлительно принять меры», — также говорится в сообщении компании.