Un autre jour, une autre vulnérabilité qui doit être patché le plus tôt possible. Oracle a informé d'une faille de sécurité qui affecte les versions de base de données Oracle 11.2.0.4 et 12.2.0.1 fonctionnant sous Windows.
Détails techniques sur CVE-2018-3110
La vulnérabilité, qui est donné l'identificateur de CVE-2018-3110, est trivial d'exploiter, mais sous la condition d'une télécommande, attaquant authentifié. Elle ne nécessite pas d'interaction utilisateur.
Une exploitation réussie peut entraîner un compromis complet de la base de données Oracle et l'accès shell au serveur sous-jacent. CVE-2018-3110 affecte également la version de base de données Oracle 12.1.0.2 sous Windows, ainsi que la base de données Oracle sur Linux et Unix, patchs mais pour ces versions et plates-formes ont été incluses dans le Juillet 2018 CPU, la société a noté dans le sous-jacent consultatif.
Le CVE-2018-3110 vulnérabilité réside dans le composant de la machine virtuelle Java de serveur Oracle Database. Si elle est exploitée, la vulnérabilité permettrait à des pirates qui ont le privilège de créer session avec accès au réseau via Oracle Net pour compromettre le composant.
Comment appliquer des correctifs pour CVE-2018-3110
Comme expliqué par Oracle, "CVE-2018-3110 affecte également la version de base de données Oracle 12.1.0.2 sous Windows, ainsi que la base de données Oracle sur Linux et Unix, patchs mais pour ces versions et plates-formes ont été incluses dans le Juillet 2018 CPU".
En outre, les clients exécutant des versions de base de données Oracle 11.2.0.4 et 12.2.0.1 sous Windows doivent appliquer les correctifs fournis par l'alerte de sécurité. Comme pour les clients exécutant la version 12.1.0.2 sous Windows ou une version de la base de données sous Linux ou Unix, ils devraient appliquer le Juillet 2018 Critical Patch Update.
Il convient de noter que le patch est pas applicable aux installations client uniquement, telles que les installations qui ne sont pas le serveur de base de données Oracle installé. La société conseille également que la vulnérabilité devrait être atténuée «sans délai". On ne sait pas si la vulnérabilité est actuellement exploitée dans la nature.
En Avril 2017, la société de logiciels a publié un avis de sécurité documentant un nombre impressionnant de 299 des failles de sécurité dans la plupart de ses produits, Oracle Database Server inclus, ainsi que Fusion Middleware, plate-forme de base Enterprise Manager, PeopleSoft Enterprise, Java.The défauts dans ces services pourraient être exploitées à distance via HTTP qui pourrait conduire au détournement complet des systèmes vulnérables.