发布日期:2018-08-14
更新日期:2018-08-15
受影响系统:
Oracle database server 18
Oracle database server 12.2.0.1
Oracle database server 12.1.0.2
Oracle database server 11.2.0.4
描述:
CVE(CAN) ID: CVE-2018-3110
Oracle数据库系统是美国Oracle公司(甲骨文)提供的以分布式数据库为核心的一组软件产品,是目前最流行的客户/服务器(CLIENT/SERVER)或B/S(Browser/Server)体系结构的数据库之一。
Oracle数据库服务器Java虚拟机(JVM)组件中存在的提权漏洞(CVE-2018-3110),此漏洞与Oracle官方7月份关键补丁更新(CPU)中修补的提权漏洞(CVE-2018-3004)同源,是该漏洞的升级版,利用方式更加简化。攻击者只需通过认证后连接到数据库,即可控制Java虚拟机,并基于其对JAVA 对象的公共访问授权,完成提权,进而控制全部数据库。
<*来源:vendor
链接:http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html
*>
建议:
厂商补丁:
Oracle
------
官方已针对此漏洞发布了补丁,绿盟科技安全服务团队建议用户根据所应用的版本,下载安装对应的补丁文件,链接如下:
https://support.oracle.com/rs?type=doc&id=2394520.1
注:Oracle官方补丁需要用户持有正版软件的许可账号。
:
Oracle Critical Patch Update Advisory:Oracle Critical Patch Update Advisory - July 2018
链接:http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html