甲骨文数据库修复严重漏洞

聚焦源代码安全，网罗国内外最新资讯！

翻译：360代码卫士团队

上周五，甲骨文通知客户称其数据库产品受严重漏洞影响，并已发布补丁，建议用户尽快安装。

该漏洞的编号是 CVE-2018-3110，CVSS 评分是 9.9，影响 Windows 上的甲骨文数据库 11.2.0.4 和 12.2.0.1版本。Windows 上的版本12.1.0.2 和运行在 Unix或 Linux 上的数据库也受影响，不过这些版本的补丁也包含在甲骨文的2018年7月的 CPU通告中。

这个漏洞存在于甲骨文数据库服务器的 Java VM 组件中，可被用于完全控制产品并获得对底层服务器的 shell 访问权限。

然而，甲骨文注意到该弱点无法遭未经认证的远程利用，而修复方案并不应用于仅有客户端的安装程序（即并不具备 Database Server 安装程序）。

甲骨文在安全公告中表示，轻易可遭利用的漏洞允许拥有网络访问权限的“创建会话”权限低权限攻击者经由甲骨文 Net 攻陷 Java VM。虽然这个漏洞存在于 Java VM 中，但攻击可能也会对其它产品产生重大影响。漏洞如遭成功攻击，则可导致 Java VM 遭控制。

甲骨文“强烈消费者立即采取措施”解决漏洞 CVE-2018-3110，这让有些人怀疑甲骨文是否认为利用的风险是否高。

https://www.securityweek.com/critical-vulnerability-patched-oracle-database