Zraniteľnosť komponentu Java VM v prostredí Java VM umožňuje kompromis celého systému

Bezpečnosť / Zraniteľnosť komponentu Java VM v prostredí Java VM umožňuje kompromis celého systému 1 minúta čítania

Infračervené svetlá



Spoločnosť Oracle rozposlala všetkým svojim používateľom prísne varovanie, aby okamžite aktualizovali svoje systémy na najnovšie vydané verzie. V súčasti Java VM databázového servera Oracle existuje bezpečnostná chyba, ktorú by bolo možné zneužiť na kompromisy a spôsobiť zdravé prevzatie Java VM.

Podľa podrobností publikovaný o zraniteľnosti dabovaný CVE-2018-3110 , chyba ovplyvňuje verzie 11.2.0.4 a 12.2.0.1 databázy Oracle v systéme Windows. Ovplyvňuje verzie 12.1.0.2 na zariadeniach so systémom Windows a Linux / Unix. Používatelia, ktorí tieto verzie používajú bez použitia procesora z júla 2018, by mali okamžite inovovať svoje systémy.



Zraniteľnosť sa považuje za ľahko zneužiteľnú, čo umožňuje útočníkovi s nízkymi oprávneniami napadnúť počítač Java VM s oprávneniami na vytváranie relácií a sieťovým prístupom cez Oracle Net. Je logické, že táto ľahko zneužiteľná a vysoko riziková zraniteľnosť získala základné skóre CVSSS 3.0 na úrovni 9,9, keďže spoločnosť Oracle oslovuje všetkých svojich zákazníkov a naliehavo ich žiada o aktualizáciu svojich systémov. Zraniteľnosť ovplyvňuje dôvernosť, integritu a dostupnosť.



Používatelia by si mali uvedomiť, že aktualizácie vydané spoločnosťou Oracle pre tieto chyby zabezpečenia v jej ovplyvnených produktoch sú obmedzené iba na tie verzie produktov, na ktoré sa vzťahuje Premier podpora fáz rozšírenej podpory v rámci zásad doživotnej podpory. Staršie verzie príslušných produktov sa tiež považujú za potenciálne zraniteľné voči rovnakému druhu systémového kompromisu. Používatelia, ktorí stále pracujú so staršími verziami databázy Oracle, by tiež mali okamžite inovovať svoje systémy.



Podľa matice rizík publikovanej spoločnosťou Oracle o tejto chybe zabezpečenia nie je zneužitie možné bez autorizácie na diaľku. Ide o relatívne menej komplexný útok a jeho dopady na dôvernosť, integritu a dostupnosť sú vysoké. Vektor útoku pre exploit je Network a jediný požadovaný balík alebo privilégium je Create Session.