«Дыра» в ПО Oracle позволяет полностью захватывать контроль над серверами. Степень угрозы 9,9 из 10

  • Автор темы Собака
  • Дата начала
Собака

Собака

Команда форума
Регистрация
12/8/18
Сообщения
531
Симпатии
2,922
Депозит
0.00 RUB
Автор темы #1
Oracle объявил о существовании критической уязвимости в нескольких версиях Database Server для разных платформ. Степень угрозы оценена в 9,9 из 10 баллов. Системным администраторам рекомендуется установить исправление в приоритетном порядке



Максимальная степень риска
Корпорация Oracle обратилась к своим клиентам с настоятельной рекомендацией срочно установить обновление к критической уязвимости CVE-2018-3110. Эта уязвимость затрагивает несколько версий Oracle Database Server, и степень угрозы её угрозы оценивается в 9,9 балла по десятибалльной шкале.
По утверждению пресс-службы компании, успешная эксплуатация уязвимости может привести к «полной компрометации базы данных Oracle и обеспечить shell-доступ к серверу, на котором эта база функционирует».
Уязвимостью затронуты четыре версии Database Server: 11.2.0.4, 12.1.0.2, 12.2.0.1 и 18.
«Степень угрозы от уязвимости определяется возможными последствиями и простотой её эксплуатации, - указывает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. - 9,9 баллов – это практически максимальная степень риска, а значит срочная реакция администраторов в данном случае абсолютно необходима. В последние дни выпущено очень большое количество важных обновлений, но администраторам баз данных Oracle следует установить исправления для CVE-2018-3110 в приоритетном порядке».
Злоумышленников мало что остановит
Сама по себе уязвимость выявления в виртуальной машине Java (JavaVM), используемой в Oracle Database Server. Строго говоря, этот баг не удастся эксплуатировать удалённо: потенциальный злоумышленник должен иметь доступ к серверу через Oracle Net, протокол, который серверы Oracle используют для соединения с клиентскими приложениями. Но в остальном произвести эксплуатацию этой уязвимости - и через неё захватить контроль над сервером - задача несложная.
proxy.php?image=http%3A%2F%2Ffilearchive.cnews.ru%2Fimg%2Fnews%2F2018%2F08%2F16%2For600.jpg&hash=c392107f923df5dc6a5b735ead5f6f30

Oracle заявила о критической уязвимости в нескольких версиях Database Server
«Легко эксплуатируемая уязвимость позволяет потенциальному злоумышленнику с низкими правами в системе, обладающему привилегией Create Session (создание сессии) и доступом через Oracle Net, скомпрометировать виртуальную машину Java. Хотя сама уязвимость присутствует в JavaVM, атаки на неё могут существенно повлиять на другие продукты [Oracle]. Успешная атака позволяет захватить контроль над JavaVM», - говорится в описании, приведённом в Национальной базе уязвимостей (NVD).
Технические подробности об этой уязвимости до сих пор нигде не опубликованы.
Подробнее: http://safe.cnews.ru/news/
 
Probiv.biz

Меню

Сверху Снизу