Infraskaidrumo lentelės
„Oracle“ išsiuntė griežtą įspėjimą visiems vartotojams, kad jie nedelsdami atnaujintų savo sistemas į naujausias išleistas versijas. „Oracle“ duomenų bazės serverio „Java VM“ komponente yra saugos pažeidžiamumas, kurį galima panaudoti norint pažeisti ir sukelti visavertį „Java VM“ perėmimą.
Pagal detales paskelbta apie dubliuotą pažeidžiamumą CVE-2018-3110 , trūkumas daro įtaką „Oracle“ duomenų bazės „Windows“ versijoms 11.2.0.4 ir 12.2.0.1. Tai veikia 12.1.0.2 versijas „Windows“ ir „Linux / Unix“ įrenginiuose. Vartotojai, kurie naudojasi šiomis versijomis netaikydami 2018 m. Liepos mėn. Procesoriaus, turėtų nedelsdami atnaujinti savo sistemas.
Pažeidimas laikomas lengvai išnaudojamu, leidžiančiu mažai privilegijuotam užpuolikui pažeisti „Java VM“ su „Create Session“ leidimais ir prieiga prie tinklo per „Oracle Net“. Tikslinga suprasti, kad šis lengvai išnaudojamas ir didelės rizikos pažeidžiamumas gavo CVSSS 3.0 bazinį balą 9,9, nes „Oracle“ kreipiasi į visus savo klientus, kad jie skubiai paprašytų jų atnaujinti savo sistemas. Pažeidžiamumas turi įtakos konfidencialumui, vientisumui ir prieinamumui.
Vartotojai turėtų atkreipti dėmesį į tai, kad „Oracle“ išleisti naujinimai, skirti šiems pažeidžiamiems jo paveiktų produktų trūkumams, ribojami tik tomis produktų versijomis, kurioms taikoma „Premier Support“ išplėstinio palaikymo fazių palaikymo visam gyvenimui politika. Manoma, kad senesnės nagrinėjamų produktų versijos gali būti pažeidžiamos to paties tipo kompromisų. Vartotojai, vis dar dirbantys su senesnėmis „Oracle“ duomenų bazės versijomis, turėtų nedelsdami atnaujinti savo sistemas.
Remiantis „Oracle“ paskelbta rizikos matrica apie šį pažeidžiamumą, išnaudoti nuotoliniu būdu be leidimo negalima. Tai gana nesudėtinga ataka, o jos poveikis konfidencialumui, vientisumui ir prieinamumui yra didelis. Išnaudojimo atakos vektorius yra „Network“, o vienintelis reikalingas paketas ar privilegija yra „Create Session“.
