在 2018年8月10日,Oracle 发布了安全预警 CVE-2018-3110,强烈建议用户应用。CVE-2018-3110的CVSS v3基本分数为9.9,可能会导致Oracle数据库和对底层服务器的shell访问完全受损。
参考官网:http://www.oracle.com/technetwork/security-advisory/alert-cve-2018-3110-5032149.html
此安全警报解决了Windows上版本11.2.0.4和12.2.0.1中的Oracle数据库漏洞。 CVE-2018-3110还影响Windows上的Oracle数据库版本12.1.0.2以及Linux和Unix上的Oracle数据库,但是这些版本和平台的补丁包含在2018年7月的CPU中,此前 云和恩墨 已经基于安全的考虑向用户提供了关于 7 月 CPU 的评估和建议,数据安全、数据保护刻不容缓。
如果您在Windows上运行Oracle数据库版本11.2.0.4和12.2.0.1,请应用下面指出的修补程序。 如果您在Windows或Linux或Unix上的任何版本的数据库上运行版本12.1.0.2并且尚未应用2018年7月的CPU,请执行修正操作。
由于此漏洞的性质,Oracle强烈建议客户立即采取措施。
受影响的产品和补丁信息
此安全警报解决的安全漏洞会影响下面列出的产品。 产品区域显示在"修补程序可用性文档"列中。 请单击下面"修补程序可用性文档"列中的链接,以访问有关修补程序可用性信息和安装说明的文档。
| Affected Products and Versions | Patch Availability Document |
|---|---|
| Oracle Database Server, versions 11.2.0.4, 12.1.0.2, 12.2.0.1, 18 | Database |
安全警报支持的产品和版本
通过安全警报程序发布的修补程序仅适用于终身支持策略的高级支持或扩展支持阶段涵盖的产品版本。 Oracle建议客户计划产品升级,以确保通过安全警报程序发布的修补程序可用于当前运行的版本。
未针对Premier Support或Extended Support提供的产品版本未针对此安全警报所解决的漏洞进行测试。但是,早期版本的受影响版本可能也会受到这些漏洞的影响。因此,Oracle建议客户升级到支持的版本。
数据库,融合中间件,Oracle Enterprise Manager产品根据My Oracle Support说明209768.1中说明的软件纠错支持策略进行修补。请查看技术支持政策,以获取有关支持政策和支持阶段的进一步指导。
Oracle数据库服务器风险表
此安全警报包含1个适用于Oracle数据库服务器的新安全修复程序。 如果没有身份验证,此漏洞无法远程利用,即,如果不需要用户凭据,则可能无法通过网络利用此漏洞。 此修复程序不适用于仅客户端安装,即未安装Oracle数据库服务器的安装。 可以在此处找到此风险矩阵的英文文本格式。
| CVE# | Component | Package and/or Privilege Required | Protocol | Remote Exploit without Auth.? | CVSS VERSION 3.0 RISK (see Risk Matrix Definitions) | Supported Versions Affected | Notes | ||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Base Score | Attack Vector | Attack Complex | Privs Req'd | User Interact | Scope | Confid- entiality | Inte- grity | Avail- ability | |||||||
| CVE-2018-3110 | Java VM | Create Session | Oracle Net | No | 9.9 | Network | Low | Low | None | Changed | High | High | High | 11.2.0.4, 12.1.0.2, 12.2.0.1, 18 | |
提醒所有用户注意这个安全风险。
