Kritische Lücken in Oracle Database – Hersteller rät zu sofortigem Update

Einige Versionen von Oracle Database weisen eine Sicherheitslücke auf, die die Systemübernahme aus der Ferne ermöglicht. Ein Notfall-Patch steht bereit.

In Pocket speichern vorlesen Druckansicht 19 Kommentare lesen
Oracle

(Bild: dpa, Everett Kennedy Brown)

Lesezeit: 1 Min.

Eine Sicherheitslücke in mehreren Versionen des Datenbankmanagementsystems Oracle Database hat den Hersteller dazu veranlasst, von seiner monatlichen Patch-Routine abzuweichen. In einem Security Alert Advisory schreibt Oracle, dass die Lücke einem entfernten Angreifer im schlimmsten Fall die vollständige Systemkompromittierung einschließlich Shell-Access zum Server ermöglichen könnte. Angesichts eines CVSS-v3-Score von 9.9 ("critical") wird ein sofortiges Update dringend empfohlen.

Angriffspunkt ist die Java-VM-Komponente von Database. Die Komplexität des Remote-Angriffs auf die mit CVE-2018-3110 bezeichnete Lücke ist laut Advisory niedrig; Voraussetzung ist allerdings das Eröffnen einer Session und somit eine Anmeldung mit entsprechenden Zugriffsrechten.

Für die verwundbaren Database-Versionen 11.2.0.4 und 12.2.0.1 unter Windows stehen neue Patches bereit. Registrierte Nutzer können sie aus dem Kundenbereich der Oracle-Website abrufen.

Betroffen sind auch die Version 12.1.0.2 unter Windows sowie sämtliche Linux-/Unix-Versionen von Database. Allerdings hat Oracle diese Versionen bereits mit dem regulären Critical Patch Update im Juli gefixt. Wer versäumt hat, es einzuspielen, sollte dies also umgehend nachholen. (ovw)