-
Каталог
за категоріями ПЗ- Антивіруси. Безпека
- Бухгалтерія. Склад. Кадри
- Графіка та дизайн
- Дистанційне навчання
- Карти, навігація, подорожі
- Керування бізнесом, CRM/ERP
- Мережа та інтернет
- Мережа та інтернет
- Мережеві утиліти
- Створення сайтів
- Поштові клієнти
- Поштові утиліти
- Браузери та утиліти
- WWW-утиліти
- Зв'язок
- Пошук
- мобільний зв'язок
- E-mail розсилка
- Download-менеджери
- Онлайн-спілкування
- IP-телефонія
- Відеоспостереження
- SEO, інтернет-маркетинг
- HTML-редактори
- Батьківський контроль
- Інші програми
- Мультимедія
- Операційні системи
- Освіта та наука
- Офісні програми
- Програми для Mac OS
- Програми для смартфонів
- Програмування
- Робота з текстом
- САПР
- Серверне ПЗ
- Системні програми
- Файлі та диски
- Хмарні рішення (SaaS)
- Каталог по виробниках
- Акції
- Новини
- Контакти
- Доставка і оплата
Головна
›
Новини
›
Критична вразливість Oracle Database Server дозволяє повністю захоплювати контроль над серверами
Корпорація Oracle звернулася до своїх клієнтів із настійною рекомендацією терміново встановити оновлення до критичної вразливості CVE-2018-3110. Ця вразливість зачіпає кілька версій Oracle Database Server, і рівень загрози її загрози оцінюється в 9,9 бала за десятибальною шкалою.
За твердженням прес-служби компанії, успішна експлуатація вразливості може призвести до «повної компрометації бази даних Oracle та забезпечити shell-доступ до сервера, на якому ця база функціонує».
Уразливістю порушено чотири версії Database Server: 11.2.0.4, 12.1.0.2, 12.2.0.1 та 18.
«Ступінь загрози від уразливості визначається можливими наслідками та простотою її експлуатації. 9,9 балів – це практично максимальний рівень ризику, а отже термінова реакція адміністраторів у даному випадку абсолютно необхідна. В останні дні випущено дуже багато важливих оновлень, але адміністраторам баз даних Oracle слід встановити виправлення для CVE-2018-3110 у пріоритетному порядку».
Зловмисників мало що зупинить
Сама собою вразливість виявлення у віртуальній машині Java (JavaVM), що використовується в Oracle Database Server. Строго кажучи, цей баг не вдасться експлуатувати віддалено: потенційний зловмисник повинен мати доступ до сервера через Oracle Net, протокол, який сервери Oracle використовують для з'єднання з клієнтськими програмами. Але в іншому зробити експлуатацію цієї вразливості - і через неї захопити контроль над сервером - завдання нескладне.
«Уразливість, що легко експлуатується, дозволяє потенційному зловмиснику з низькими правами в системі, що володіє привілеєм Create Session (створення сесії) і доступом через Oracle Net, скомпрометувати віртуальну машину Java. Хоча сама вразливість присутня JavaVM, атаки на неї можуть суттєво вплинути на інші продукти [Oracle]. Успішна атака дозволяє захопити контроль над JavaVM», - йдеться в описі, наведеному в Національній базі вразливостей (NVD).
