Vulnerabilidad crítica en Oracle Database: Parchea ahora

Oracle insta a los usuarios a parchear sus instalaciones de Oracle Database para solucionar un problema de seguridad crítico que puede resultar en un compromiso total de la base de datos y el acceso del shell al servidor subyacente.

Acerca de la vulnerabilidad (CVE-2018-3110)

La vulnerabilidad (CVE-2018-3110) afecta las versiones de Oracle Database 11.2.0.4 y 12.2.0.1 en Windows y aparentemente es fácil de explotar, pero solo puede ser explotada remotamente por un atacante autentificado.

La vulnerabilidad está en el componente Java Virtual Machine de Oracle Database Server. No requiere interacción del usuario y permite que los atacantes que tienen privilegios de Crear sesiónes con acceso a la red a través de Oracle Net comprometan el componente.

"CVE-2018-3110 también afecta la Base de datos Oracle versión 12.1.0.2 en Windows así como la Base de datos Oracle en Linux y Unix, sin embargo, los parches para esas versiones y plataformas se incluyeron en la CPU de julio de 2018", compartió Oracle.

"Los clientes que ejecutan las versiones de Oracle Database 11.2.0.4 y 12.2.0.1 en Windows deben aplicar los parches provistos por Security Alert. Los clientes que ejecutan la versión 12.1.0.2 en Windows o en cualquier versión de la base de datos en Linux o Unix deben aplicar la actualización de parches críticos de julio del 2018 si aún no lo han hecho".

La solución, que se ofreció el último viernes, no es aplicable a las instalaciones solo para clientes, es decir, las instalaciones que no tienen instalado Oracle Database Server.

"Debido a la naturaleza de esta vulnerabilidad, Oracle recomienda encarecidamente a los clientes que actúen sin demora", dijo la compañía, pero no mencionó si se está explotando en la naturaleza o cómo se descubrió la falla.

Más información: Aviso de seguridad de Oracle