Спецпроекты

«Дыра» в ПО Oracle позволяет полностью захватывать контроль над серверами. Степень угрозы 9,9 из 10

5613
Безопасность Администратору Стратегия безопасности Бизнес-приложения Инфраструктура
Oracle объявил о существовании критической уязвимости в нескольких версиях Database Server для разных платформ. Степень угрозы оценена в 9,9 из 10 баллов. Системным администраторам рекомендуется установить исправление в приоритетном порядке

Максимальная степень риска

Корпорация Oracle обратилась к своим клиентам с настоятельной рекомендацией срочно установить обновление к критической уязвимости CVE-2018-3110. Эта уязвимость затрагивает несколько версий Oracle Database Server, и степень угрозы её угрозы оценивается в 9,9 балла по десятибалльной шкале.

По утверждению пресс-службы компании, успешная эксплуатация уязвимости может привести к «полной компрометации базы данных Oracle и обеспечить shell-доступ к серверу, на котором эта база функционирует».

Уязвимостью затронуты четыре версии Database Server: 11.2.0.4, 12.1.0.2, 12.2.0.1 и 18.

«Степень угрозы от уязвимости определяется возможными последствиями и простотой её эксплуатации, - указывает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. - 9,9 баллов – это практически максимальная степень риска, а значит срочная реакция администраторов в данном случае абсолютно необходима. В последние дни выпущено очень большое количество важных обновлений, но администраторам баз данных Oracle следует установить исправления для CVE-2018-3110 в приоритетном порядке».

Злоумышленников мало что остановит

Сама по себе уязвимость выявления в виртуальной машине Java (JavaVM), используемой в Oracle Database Server. Строго говоря, этот баг не удастся эксплуатировать удалённо: потенциальный злоумышленник должен иметь доступ к серверу через Oracle Net, протокол, который серверы Oracle используют для соединения с клиентскими приложениями. Но в остальном произвести эксплуатацию этой уязвимости - и через неё захватить контроль над сервером - задача несложная.

or600.jpg
Oracle заявила о критической уязвимости в нескольких версиях Database Server

«Легко эксплуатируемая уязвимость позволяет потенциальному злоумышленнику с низкими правами в системе, обладающему привилегией Create Session (создание сессии) и доступом через Oracle Net, скомпрометировать виртуальную машину Java. Хотя сама уязвимость присутствует в JavaVM, атаки на неё могут существенно повлиять на другие продукты [Oracle]. Успешная атака позволяет захватить контроль над JavaVM», - говорится в описании, приведённом в Национальной базе уязвимостей (NVD).

Технические подробности об этой уязвимости до сих пор нигде не опубликованы.



Взгляд месяца

Государство должно получать данные напрямую из информсистем компаний

Савва Шипов

Замминистра Минэкономразвития

Стратегия месяца

Мы отказываемся от лоскутной автоматизации

Валерий Дьяченко

ИТ-директор «Мечела»