Infrasightlabs
ओरेकल ने अपने सभी उपयोगकर्ताओं को तुरंत जारी किए गए नवीनतम संस्करणों में अपने सिस्टम को अपडेट करने के लिए एक गंभीर ग्रेड चेतावनी दी है। ओरेकल के डेटाबेस सर्वर के जावा वीएम घटक में एक सुरक्षा भेद्यता मौजूद है जिसका उपयोग जावा वीएम के पूर्ण अधिग्रहण के लिए समझौता करने और करने के लिए किया जा सकता है।
विवरण के अनुसार प्रकाशित भेद्यता पर डब किया गया CVE-2018-3110 यह दोष विंडोज पर ओरेकल डेटाबेस के 11.2.0.4 और 12.2.0.1 संस्करणों को प्रभावित करता है। यह विंडोज़ और लिनक्स / यूनिक्स उपकरणों पर 12.1.0.2 संस्करणों को प्रभावित करता है। जो उपयोगकर्ता जुलाई 2018 सीपीयू को लागू किए बिना इन संस्करणों का उपयोग कर पाते हैं, उन्हें तुरंत अपने सिस्टम को अपग्रेड करना चाहिए।
भेद्यता को आसानी से शोषक माना जाता है जो कम विशेषाधिकार प्राप्त हमलावर को जावा नेट बनाने के लिए ओरेकल नेट के साथ सेशन अनुमतियाँ और नेटवर्क एक्सेस के साथ समझौता करने की अनुमति देता है। यह समझ में आता है कि इस आसानी से शोषक और उच्च जोखिम भेद्यता को 9.9 का CVSSS 3.0 बेस स्कोर प्राप्त हुआ है, क्योंकि Oracle अपने सभी ग्राहकों तक अपनी प्रणाली को अपग्रेड करने के लिए तत्काल पूछने के लिए पहुंचता है। भेद्यता गोपनीयता, अखंडता और उपलब्धता को प्रभावित करती है।
उपयोगकर्ताओं को ध्यान देना चाहिए कि ओरेकल द्वारा अपने प्रभावित उत्पादों में इन कमजोरियों के लिए जारी किए गए अपडेट केवल उन उत्पाद संस्करणों तक सीमित हैं जो लाइफटाइम सपोर्ट पॉलिसी के विस्तारित समर्थन चरणों के प्रीमियर समर्थन के तहत आते हैं। विचाराधीन उत्पादों के पुराने संस्करणों को भी उसी तरह के सिस्टम समझौता के लिए संभावित रूप से कमजोर माना जाता है। अभी भी Oracle डेटाबेस के पुराने संस्करणों के साथ काम करने वाले उपयोगकर्ताओं को अपने सिस्टम को तुरंत अपग्रेड करना चाहिए।
इस भेद्यता पर ओरेकल द्वारा प्रकाशित जोखिम मैट्रिक्स के अनुसार, शोषण बिना प्राधिकरण के दूरस्थ रूप से संभव नहीं है। यह अपेक्षाकृत कम जटिल हमला है और गोपनीयता, अखंडता और उपलब्धता पर इसके प्रभाव अधिक हैं। शोषण के लिए हमला वेक्टर नेटवर्क है और केवल आवश्यक पैकेज या विशेषाधिकार क्रिएट सेशन है।
