Risolta una grave vulnerabilità in Oracle Database server

14/08/2018

CVE-2018-3110 database oracle Vulnerabilità

Oracle ha pubblicato un avviso di sicurezza informando di aver individuato e risolto una grave vulnerabilità, in certe condizioni facilmente sfruttabile, che affligge Oracle database nelle versioni 11.2.0.4 e 12.2.0.1 su piattaforma Windows.
 
La falla, cui è assegnato il CVE-2018-3110 ed un punteggio base CVSS (v3) pari a 9.9, risiede nel componente Java VM di Oracle Database Server. Nello scenario di attacco un utente malintenzionato, se autenticato, potrebbe sfruttare remotamente la vulnerabilità assumendo il controllo completo del database Oracle e stabilire un accesso “shell” al sottostante server.
 
Le versioni Oracle Database Server interessate dal CVE sono la 11.2.0.4, 12.1.0.2, 12.2.0.1 e la 18.
 
Di seguito la matrice dei rischi:
 
 
Il CVE-2018-3110 interessa anche Oracle Database versione 12.1.0.2 per Linux e Unix, tuttavia lil software correttivo per tali versioni e piattaforme è stato incluso nella CPU di luglio 2018.
 
A causa della natura di questa vulnerabilità, Oracle consiglia vivamente ai propri clienti di intervenire quanto prima e senza indugio.
 
 
Riferimenti: