CVE-2018-3110 Oracle数据库服务器Java虚拟机漏洞
Posted 国信安全湖北中心
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CVE-2018-3110 Oracle数据库服务器Java虚拟机漏洞相关的知识,希望对你有一定的参考价值。
漏洞概述
2018 年 8 月 10 日, Oracle 发布安全通告,对 Oracle 数据库服务器中 Java 虚拟机存在的漏洞 CVE-2018-3110 进行了预警。此漏洞 CVSS 评分为 9.9 分,影响较为严重,用户应及时进行更新。
影响范围
此安全警报解决了 Windows 上版本 11.2.0.4 和 12.2.0.1 中的 Oracle 数据库漏洞。 CVE-2018-3110 还影响 Windows 上的 Oracle 数据库版本 12.1.0.2 以及 Linux 和 Unix 上的 Oracle数据库,但是这些版本和平台的补丁包含2018 年 7 月的 CPU 中。
漏洞危害
此漏洞会被攻击者利用通过 Oracle Net 攻击 Java 虚拟机,虽然此漏洞存在于 Java 虚拟机中,但可被利用来攻击其他的产品与服务。攻击者攻击成功后可接管整个 Java 虚拟机。
应对措施
下为官方通告中受影响产品及补丁可用性文档:
通过安全警报程序发布的修补程序仅适用于终身支持策略的高级支持或扩展支持阶段涵盖的产品版本。 Oracle 建议客户计划产品升级,以确保通过安全警报程序发布的修补程序可用于当前运行的版本。
未针对 Premier Support 或 Extended Support 提供的产品版本未针对此安全警报所解决的漏洞进行测试。但是,早期版本的受影响版本可能也会受到这些漏洞的影响。因此,Oracle 建议客户升级到支持的版本。
数据库,融合中间件, Oracle Enterprise Manager 产品根据 My Oracle Support 说明209768.1 中说明的软件纠错支持策略进行修补。请查看技术支持政策,以获取有关支持政策和支持阶段的进一步指导。
以下为官方通告中此漏洞风险矩阵:
| CVE# | 组件 | 需求 | 协议 | 无授权远程利用 | CVSS VERSION 3.0 RISK (风险矩阵定义) | 受影响版本 | 其他 | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 评分 | 攻击向量 | 攻击复杂度 | 权限需求 | 用户干涉 | 范围 | 保密性 | 完整性 | 可用性 | |||||||
| CVE-2018-3110 | Java虚拟机 | 创建会话 | Oracle Net | 否 | 9.9 | 网络 | 低 | 低 | 无 | 可变 | 高 | 高 | 高 | 11.2.0.4, 12.1.0.2, 12.2.0.1, 18 | |
相关链接
http://www.oracle.com/technetwork/security-advisory/alert-cve-2018-3110-5032149.html
https://nvd.nist.gov/vuln/detail/CVE-2018-3110
以上是关于CVE-2018-3110 Oracle数据库服务器Java虚拟机漏洞的主要内容,如果未能解决你的问题,请参考以下文章