インフラサイトラボ
オラクルは、システムをリリースされた最新バージョンに即座に更新するために、すべてのユーザーに重大なグレードの警告を送信しました。 OracleのデータベースサーバーのJavaVMコンポーネントにはセキュリティの脆弱性が存在し、これを悪用してJavaVMの健全な乗っ取りを危うくする可能性があります。
詳細によると 公開 吹き替えられた脆弱性について CVE-2018-3110 、この欠陥は、Windows上のOracleデータベースのバージョン11.2.0.4および12.2.0.1に影響します。これは、WindowsおよびLinux / Unixデバイスのバージョン12.1.0.2に影響します。 2018年7月のCPUを適用せずにこれらのバージョンを使用していることに気付いたユーザーは、すぐにシステムをアップグレードする必要があります。
この脆弱性は簡単に悪用可能であると見なされており、特権の低い攻撃者がセッションの作成権限とOracleNetを介したネットワークアクセスでJavaVMを侵害する可能性があります。オラクルがすべての顧客に連絡してシステムのアップグレードを緊急に依頼したため、この簡単に悪用可能でリスクの高い脆弱性がCVSSS3.0の基本スコア9.9を獲得したことは理にかなっています。この脆弱性は、機密性、整合性、および可用性に影響を与えます。
影響を受ける製品のこれらの脆弱性についてオラクルがリリースしたアップデートは、ライフタイムサポートポリシーの拡張サポートフェーズのプレミアサポートでカバーされている製品バージョンにのみ限定されていることに注意してください。問題の製品の古いバージョンも、同じ種類のシステム侵害に対して潜在的に脆弱であると考えられています。古いバージョンのOracleデータベースを引き続き使用しているユーザーは、システムもすぐにアップグレードする必要があります。
この脆弱性に関してオラクルが公開したリスクマトリックスによると、このエクスプロイトは許可なしにリモートで実行することはできません。これは比較的複雑でない攻撃であり、機密性、整合性、および可用性への影響は大きくなります。エクスプロイトの攻撃ベクトルはネットワークであり、必要なパッケージまたは特権はCreateSessionのみです。
