Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Vulnerabilidad crítica en la base de datos de Oracle

Fecha de publicación: 16/08/2018

Importancia: Crítica

Recursos afectados:

  • Oracle Database versiones 11.2.0.4, 12.2.0.1, 12.1.0.2 para Windows
  • Oracle Database versiones 12.1.0.2 para Unix o Linux

Descripción:

Se ha descubierto una vulnerabilidad en la base de datos Oracle que podría permitir un compromiso total de la base de datos, así como el acceso al shell del servidor subyacente.

Solución:

Es posible acceder a la documentación que contiene información sobre la disponibilidad de parches e instrucciones de instalación en siguiente enlace:

Detalle:

  • La vulnerabilidad reside en el componente Java Virtual Machine del Oracle Database Server y no requiere la interacción del usuario. Podría permitir a un atacante de bajo privilegio con permisos para crear sesión con acceso a la red a través de Oracle Net, comprometer el componente Java VM, tomando así el control completo del producto y pudiendo establecer un acceso shell al servidor subyacente. Se ha reservado el identificador CVE-2018-3110 para esta vulnerabilidad.

Etiquetas: Oracle, Vulnerabilidad