19 de agosto de 2018

BASES DE DATOS. Vulnerabilidad crítica en Oracle

Se ha descubierto una vulnerabilidad en la base de datos Oracle que podría permitir un compromiso total de la base de datos, así como el acceso al shell del servidor subyacente, catalogada de  Importancia: 5 - Crítica
Recursos afectados:
  • Oracle Database versiones 11.2.0.4, 12.2.0.1, 12.1.0.2 para Windows
  • Oracle Database versiones 12.1.0.2 para Unix o Linux

Recomendación
·        Es posible acceder a la documentación que contiene información sobre la disponibilidad de parches e instrucciones de instalación en siguiente enlace: https://support.oracle.com/rs?type=doc&id=2394520.1
Detalle de vulnerabilidades
La vulnerabilidad reside en el componente Java Virtual Machine del Oracle Database Server y no requiere la interacción del usuario. Podría permitir a un atacante de bajo privilegio con permisos para crear sesión con acceso a la red a través de Oracle Net, comprometer el componente Java VM, tomando así el control completo del producto y pudiendo establecer un acceso shell al servidor subyacente. Se ha reservado el identificador CVE-2018-3110 para esta vulnerabilidad.
Más  información
·         Oracle Security Alert Advisory - CVE-2018-3110 http://www.oracle.com/technetwork/security-advisory/alert-cve-2018-3110-5032149.html
·         A Vulnerability in Oracle Database Could Allow for Complete Compromise https://www.cisecurity.org/advisory/a-vulnerability-in-oracle-database-could-allow-for-complete-compromise_2018-089/
Fuente: INCIBE