Infrasightlabs
Oracle a envoyé un avertissement de qualité sévère à tous ses utilisateurs pour qu'ils mettent instantanément à jour leurs systèmes avec les dernières versions publiées. Il existe une faille de sécurité dans le composant Java VM du serveur de base de données Oracle qui pourrait être exploitée pour compromettre et provoquer une prise de contrôle saine de Java VM.
Selon les détails publié sur la vulnérabilité doublée CVE-2018-3110 , la faille affecte les versions 11.2.0.4 et 12.2.0.1 de la base de données Oracle sous Windows. Il affecte les versions 12.1.0.2 sur les périphériques Windows et Linux / Unix. Les utilisateurs qui se retrouvent à utiliser ces versions sans avoir appliqué le processeur de juillet 2018 doivent immédiatement mettre à niveau leurs systèmes.
La vulnérabilité est considérée comme facilement exploitable permettant à un attaquant à faibles privilèges de compromettre la machine virtuelle Java avec des autorisations de création de session et un accès au réseau via Oracle Net. Il est logique que cette vulnérabilité facilement exploitable et à haut risque ait reçu un score de base CVSSS 3.0 de 9,9 alors qu'Oracle s'adresse à tous ses clients pour leur demander d'urgence de mettre à niveau leurs systèmes. La vulnérabilité a un impact sur la confidentialité, l'intégrité et la disponibilité.
Les utilisateurs doivent noter que les mises à jour publiées par Oracle pour ces vulnérabilités dans ses produits concernés sont uniquement limitées aux versions de produit couvertes par le support Premier des phases de support étendu de la politique de support à vie. On pense également que les anciennes versions des produits en question sont potentiellement vulnérables au même type de compromission du système. Les utilisateurs qui travaillent toujours avec des versions plus anciennes de la base de données Oracle doivent également mettre à niveau leurs systèmes immédiatement.
Selon la matrice de risques publiée par Oracle sur cette vulnérabilité, l'exploit n'est pas possible à distance sans autorisation. Il s'agit d'une attaque relativement moins complexe et ses impacts sur la confidentialité, l'intégrité et la disponibilité sont élevés. Le vecteur d'attaque de l'exploit est Network et le seul package ou privilège requis est Create Session.
