Se ha descubierto una
vulnerabilidad en la base de datos Oracle que podría permitir un compromiso
total de la base de datos, así como el acceso al shell del servidor subyacente,
catalogada de Importancia: 5 - Crítica
Recursos afectados:
- Oracle Database versiones 11.2.0.4, 12.2.0.1, 12.1.0.2 para Windows
- Oracle Database versiones 12.1.0.2 para Unix o Linux
Recomendación
·
Es
posible acceder a la documentación que contiene información sobre la
disponibilidad de parches e instrucciones de instalación en siguiente enlace: https://support.oracle.com/rs?type=doc&id=2394520.1
Detalle de vulnerabilidades
La vulnerabilidad
reside en el componente Java Virtual Machine del Oracle Database Server y no
requiere la interacción del usuario. Podría permitir a un atacante de bajo privilegio
con permisos para crear sesión con acceso a la red a través de Oracle Net,
comprometer el componente Java VM, tomando así el control completo del producto
y pudiendo establecer un acceso shell al servidor subyacente. Se ha reservado
el identificador CVE-2018-3110 para esta vulnerabilidad.
Más
información
·
Oracle
Security Alert Advisory - CVE-2018-3110 http://www.oracle.com/technetwork/security-advisory/alert-cve-2018-3110-5032149.html
·
A
Vulnerability in Oracle Database Could Allow for Complete Compromise https://www.cisecurity.org/advisory/a-vulnerability-in-oracle-database-could-allow-for-complete-compromise_2018-089/
Fuente: INCIBE