漏洞概述
2018 年 8 月 10 日, Oracle 發佈安全通告,對 Oracle 數據庫服務器中 Java 虛擬機存在的漏洞 CVE-2018-3110 進行了預警。此漏洞 CVSS 評分為 9.9 分,影響較為嚴重,用戶應及時進行更新。
影響範圍
此安全警報解決了 Windows 上版本 11.2.0.4 和 12.2.0.1 中的 Oracle 數據庫漏洞。 CVE-2018-3110 還影響 Windows 上的 Oracle 數據庫版本 12.1.0.2 以及 Linux 和 Unix 上的 Oracle數據庫,但是這些版本和平臺的補丁包含2018 年 7 月的 CPU 中。
漏洞危害
此漏洞會被攻擊者利用通過 Oracle Net 攻擊 Java 虛擬機,雖然此漏洞存在於 Java 虛擬機中,但可被利用來攻擊其他的產品與服務。攻擊者攻擊成功後可接管整個 Java 虛擬機。
應對措施
下為官方通告中受影響產品及補丁可用性文檔:
通過安全警報程序發佈的修補程序僅適用於終身支持策略的高級支持或擴展支持階段涵蓋的產品版本。 Oracle 建議客戶計劃產品升級,以確保通過安全警報程序發佈的修補程序可用於當前運行的版本。
未針對 Premier Support 或 Extended Support 提供的產品版本未針對此安全警報所解決的漏洞進行測試。但是,早期版本的受影響版本可能也會受到這些漏洞的影響。因此,Oracle 建議客戶升級到支持的版本。
數據庫,融合中間件, Oracle Enterprise Manager 產品根據 My Oracle Support 說明209768.1 中說明的軟件糾錯支持策略進行修補。請查看技術支持政策,以獲取有關支持政策和支持階段的進一步指導。
以下為官方通告中此漏洞風險矩陣:
CVE#組件需求協議無授權遠程利用CVSS VERSION 3.0 RISK (風險矩陣定義)受影響版本其他評分攻擊向量攻擊複雜度權限需求用戶干涉範圍保密性完整性可用性CVE-2018-3110Java虛擬機創建會話Oracle Net否9.9網絡低低無可變高高高11.2.0.4, 12.1.0.2, 12.2.0.1, 18
相關鏈接
http://www.oracle.com/technetwork/security-advisory/alert-cve-2018-3110-5032149.html
https://nvd.nist.gov/vuln/detail/CVE-2018-3110
閱讀更多 國信安全湖北中心 的文章
