«Дыра» в ПО Oracle позволяет полностью захватывать контроль над серверами. Степень угрозы 9,9 из 10

Безопасность Администратору Стратегия безопасности Бизнес-приложения Инфраструктура
мобильная версия
, Текст: Роман Георгиев
Oracle объявил о существовании критической уязвимости в нескольких версиях Database Server для разных платформ. Степень угрозы оценена в 9,9 из 10 баллов. Системным администраторам рекомендуется установить исправление в приоритетном порядке

Максимальная степень риска

Корпорация Oracle обратилась к своим клиентам с настоятельной рекомендацией срочно установить обновление к критической уязвимости CVE-2018-3110. Эта уязвимость затрагивает несколько версий Oracle Database Server, и степень угрозы её угрозы оценивается в 9,9 балла по десятибалльной шкале.

По утверждению пресс-службы компании, успешная эксплуатация уязвимости может привести к «полной компрометации базы данных Oracle и обеспечить shell-доступ к серверу, на котором эта база функционирует».

Уязвимостью затронуты четыре версии Database Server: 11.2.0.4, 12.1.0.2, 12.2.0.1 и 18.

«Степень угрозы от уязвимости определяется возможными последствиями и простотой её эксплуатации, - указывает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. - 9,9 баллов – это практически максимальная степень риска, а значит срочная реакция администраторов в данном случае абсолютно необходима. В последние дни выпущено очень большое количество важных обновлений, но администраторам баз данных Oracle следует установить исправления для CVE-2018-3110 в приоритетном порядке».

Злоумышленников мало что остановит

Сама по себе уязвимость выявления в виртуальной машине Java (JavaVM), используемой в Oracle Database Server. Строго говоря, этот баг не удастся эксплуатировать удалённо: потенциальный злоумышленник должен иметь доступ к серверу через Oracle Net, протокол, который серверы Oracle используют для соединения с клиентскими приложениями. Но в остальном произвести эксплуатацию этой уязвимости - и через неё захватить контроль над сервером - задача несложная.

or600.jpg
Oracle заявила о критической уязвимости в нескольких версиях Database Server

«Легко эксплуатируемая уязвимость позволяет потенциальному злоумышленнику с низкими правами в системе, обладающему привилегией Create Session (создание сессии) и доступом через Oracle Net, скомпрометировать виртуальную машину Java. Хотя сама уязвимость присутствует в JavaVM, атаки на неё могут существенно повлиять на другие продукты [Oracle]. Успешная атака позволяет захватить контроль над JavaVM», - говорится в описании, приведённом в Национальной базе уязвимостей (NVD).

Технические подробности об этой уязвимости до сих пор нигде не опубликованы.