漏洞预警 | CVE-2018-3110 Oracle数据库服务器Java虚拟机漏洞

阅读量351368

发布时间 : 2018-08-13 12:40:06

 

CVE-2018-3110

2018年8月10日,Oracle发布安全通告,对Oracle数据库服务器中Java虚拟机存在的漏洞CVE-2018-3110进行了预警。此漏洞CVSS评分为9.9分,影响较为严重,用户应及时进行更新。

CVE-2018-3110影响Oracle数据库Windows版11.2.0.4与12.2.0.1,同时对全平台12.1.0.2且未应用2018年7月CPU的版本也会产生影响。除此之外,老版本很可能均会受到其影响。

此漏洞与2018年7月发布的CPU中的CVE-2018-3004同源,攻击方式更为简化。

此漏洞会被攻击者利用通过Oracle Net攻击Java虚拟机,虽然此漏洞存在于Java虚拟机中,但可被利用来攻击其他的产品与服务。攻击者攻击成功后可接管整个Java虚拟机。

下为官方通告中受影响产品及补丁可用性文档:

Affected Products and Versions Patch Availability Document
Oracle Database Server, versions 11.2.0.4, 12.1.0.2, 12.2.0.1, 18 Database

漏洞补丁仅适用于拥有Premier Support以及Extended Support服务的产品,不在此列的产品并未测试是否会受到此漏洞影响,但是仍旧推荐用户升级到更高级的服务以获取安全补丁。

以下为官方通告中此漏洞风险矩阵:

CVE# 组件 需求 协议 无授权远程利用 CVSS VERSION 3.0 RISK (风险矩阵定义) 受影响版本 其他
评分 攻击向量 攻击复杂度 权限需求 用户干涉 范围 保密性 完整性 可用性
CVE-2018-3110 Java虚拟机 创建会话 Oracle Net 9.9 网络 可变 11.2.0.4, 12.1.0.2, 12.2.0.1, 18

 

漏洞相关链接

http://www.oracle.com/technetwork/security-advisory/alert-cve-2018-3110-5032149.html

https://nvd.nist.gov/vuln/detail/CVE-2018-3110

本文由安全客原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/156119

安全KER - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66