Infrasightlabs
Oracle ir izsūtījis visiem lietotājiem nopietnu brīdinājumu par viņu tūlītēju atjaunināšanu uz jaunākajām izlaistajām versijām. Oracle datu bāzes servera Java VM komponentā pastāv drošības ievainojamība, kuru var izmantot, lai kompromitētu un izraisītu pilnvērtīgu Java VM pārņemšanu.
Pēc sīkumiem publicēts par ievainojamību, kas dublēta CVE-2018-3110 , kļūda ietekmē Oracle datu bāzes versijas 11.2.0.4 un 12.2.0.1 operētājsistēmā Windows. Tas ietekmē 12.1.0.2 versiju Windows un Linux / Unix ierīcēs. Lietotājiem, kuri izmanto šīs versijas, nepielietojot 2018. gada jūlija CPU, nekavējoties jāatjaunina savas sistēmas.
Ievainojamība tiek uzskatīta par viegli izmantojamu, ļaujot zemu priviliģētu uzbrucēju apdraudēt Java VM ar Create Session atļaujām un tīkla piekļuvi, izmantojot Oracle Net. Ir jēga, ka šī viegli izmantojamā un augsta riska ievainojamība ir saņēmusi CVSSS 3.0 bāzes punktu vērtējumu 9,9, kad Oracle sazinās ar visiem saviem klientiem, lai steidzami lūgtu viņus uzlabot savas sistēmas. Neaizsargātība ietekmē konfidencialitāti, integritāti un pieejamību.
Lietotājiem jāņem vērā, ka Oracle izlaistie atjauninājumi par šīm ievainojamībām attiecīgajos produktos attiecas tikai uz tām produktu versijām, uz kurām attiecas mūža atbalsta politikas paplašinātā atbalsta posmu Premier atbalsts. Tiek uzskatīts, ka arī attiecīgo produktu vecākās versijas ir potenciāli neaizsargātas pret tāda paša veida sistēmas kompromisiem. Lietotājiem, kas joprojām strādā ar vecākām Oracle Database versijām, nekavējoties jāatjaunina arī savas sistēmas.
Saskaņā ar Oracle publicēto riska matricu par šo ievainojamību izmantot nav iespējams attālināti bez atļaujas. Tas ir salīdzinoši mazāk sarežģīts uzbrukums, un tā ietekme uz konfidencialitāti, integritāti un pieejamību ir liela. Izmantošanas uzbrukuma vektors ir tīkls, un vienīgā nepieciešamā pakete vai privilēģija ir izveidot sesiju.
![[FIX] ESO ‘Notikusi negaidīta iekšēja kļūda’](https://jf-balio.pt/img/how-tos/54/eso-an-unexpected-internal-error-has-occurred.png)
