Infrasightlabs
Oracle ได้ส่งคำเตือนระดับรุนแรงไปยังผู้ใช้ทุกคนให้อัปเดตระบบของตนเป็นเวอร์ชันล่าสุดที่เผยแพร่ทันที มีช่องโหว่ด้านความปลอดภัยในคอมโพเนนต์ Java VM ของเซิร์ฟเวอร์ฐานข้อมูลของ Oracle ซึ่งอาจถูกใช้ประโยชน์เพื่อบุกรุกและก่อให้เกิดการเข้าครอบครอง Java VM ที่เป็นประโยชน์
ตามรายละเอียด เผยแพร่แล้ว เกี่ยวกับช่องโหว่ที่ขนานนาม CVE-2018-3110 ข้อบกพร่องมีผลกับเวอร์ชัน 11.2.0.4 และ 12.2.0.1 ของฐานข้อมูล Oracle บน Windows มีผลกับเวอร์ชัน 12.1.0.2 บนอุปกรณ์ Windows และ Linux / Unix ผู้ใช้ที่พบว่าตัวเองใช้เวอร์ชันเหล่านี้โดยไม่ได้ใช้ CPU กรกฎาคม 2018 ควรอัปเกรดระบบของตนทันที
ช่องโหว่ดังกล่าวถือได้ว่าเป็นช่องโหว่ที่สามารถใช้ประโยชน์ได้อย่างง่ายดายทำให้ผู้โจมตีที่มีสิทธิพิเศษต่ำสามารถบุกรุก Java VM ด้วยสิทธิ์ Create Session และการเข้าถึงเครือข่ายผ่าน Oracle Net ทำให้รู้สึกว่าช่องโหว่ที่มีความเสี่ยงสูงที่สามารถใช้ประโยชน์ได้ง่ายและมีความเสี่ยงสูงนี้ได้รับคะแนนฐาน CVSSS 3.0 ที่ 9.9 เนื่องจาก Oracle ติดต่อกับลูกค้าทั้งหมดเพื่อขอให้พวกเขาอัปเกรดระบบของตนอย่างเร่งด่วน ช่องโหว่ดังกล่าวส่งผลต่อการรักษาความลับความสมบูรณ์และความพร้อมใช้งาน
ผู้ใช้ควรทราบว่าการอัปเดตที่เผยแพร่โดย Oracle สำหรับช่องโหว่เหล่านี้ในผลิตภัณฑ์ที่ได้รับผลกระทบนั้น จำกัด เฉพาะเวอร์ชันผลิตภัณฑ์ที่อยู่ภายใต้การสนับสนุนระดับพรีเมียร์ของขั้นตอนการสนับสนุนเพิ่มเติมของนโยบายการสนับสนุนตลอดอายุการใช้งาน ผลิตภัณฑ์รุ่นเก่าที่เป็นปัญหายังคิดว่าอาจเสี่ยงต่อการบุกรุกระบบประเภทเดียวกัน ผู้ใช้ที่ยังคงทำงานกับ Oracle Database เวอร์ชันเก่าควรอัปเกรดระบบของตนทันทีเช่นกัน
ตามเมทริกซ์ความเสี่ยงที่เผยแพร่โดย Oracle เกี่ยวกับช่องโหว่นี้การใช้ประโยชน์จากระยะไกลไม่สามารถทำได้โดยไม่ได้รับอนุญาต เป็นการโจมตีที่ค่อนข้างซับซ้อนน้อยกว่าและมีผลกระทบต่อการรักษาความลับความสมบูรณ์และความพร้อมใช้งานสูง เวกเตอร์การโจมตีสำหรับการหาประโยชน์คือเครือข่ายและแพ็กเกจหรือสิทธิ์พิเศษที่ต้องการคือ Create Session
