Vulnerabilidad crítica en la base de datos de Oracle

Fecha de publicación 16/08/2018

Importancia

5 - Crítica

Recursos Afectados

Oracle Database versiones 11.2.0.4, 12.2.0.1, 12.1.0.2 para Windows
Oracle Database versiones 12.1.0.2 para Unix o Linux

Descripción

Se ha descubierto una vulnerabilidad en la base de datos Oracle que podría permitir un compromiso total de la base de datos, así como el acceso al shell del servidor subyacente.

Solución

Es posible acceder a la documentación que contiene información sobre la disponibilidad de parches e instrucciones de instalación en siguiente enlace:

https://support.oracle.com/rs?type=doc&id=2394520.1

Detalle

La vulnerabilidad reside en el componente Java Virtual Machine del Oracle Database Server y no requiere la interacción del usuario. Podría permitir a un atacante de bajo privilegio con permisos para crear sesión con acceso a la red a través de Oracle Net, comprometer el componente Java VM, tomando así el control completo del producto y pudiendo establecer un acceso shell al servidor subyacente. Se ha reservado el identificador CVE-2018-3110 para esta vulnerabilidad.

Listado de referencias

Oracle Security Alert Advisory - CVE-2018-3110

A Vulnerability in Oracle Database Could Allow for Complete Compromise

Etiquetas