zurück zum Artikel

Einige Versionen von Oracle Database weisen eine Sicherheitslücke auf, die die Systemübernahme aus der Ferne ermöglicht. Ein Notfall-Patch steht bereit.

Eine Sicherheitslücke in mehreren Versionen des Datenbankmanagementsystems Oracle Database hat den Hersteller dazu veranlasst, von seiner monatlichen Patch-Routine abzuweichen. In einem Security Alert Advisory [1] schreibt Oracle, dass die Lücke einem entfernten Angreifer im schlimmsten Fall die vollständige Systemkompromittierung einschließlich Shell-Access zum Server ermöglichen könnte. Angesichts eines CVSS-v3-Score [2] von 9.9 ("critical") wird ein sofortiges Update dringend empfohlen.

Angriffspunkt ist die Java-VM-Komponente von Database. Die Komplexität des Remote-Angriffs auf die mit CVE-2018-3110 [3] bezeichnete Lücke ist laut Advisory niedrig; Voraussetzung ist allerdings das Eröffnen einer Session und somit eine Anmeldung mit entsprechenden Zugriffsrechten.

Patches sind verfügbar

Für die verwundbaren Database-Versionen 11.2.0.4 und 12.2.0.1 unter Windows stehen neue Patches bereit. Registrierte Nutzer können sie aus dem Kundenbereich der Oracle-Website abrufen [4].

Betroffen sind auch die Version 12.1.0.2 unter Windows sowie sämtliche Linux-/Unix-Versionen von Database. Allerdings hat Oracle diese Versionen bereits mit dem regulären Critical Patch Update im Juli [5] gefixt. Wer versäumt hat, es einzuspielen, sollte dies also umgehend nachholen. (ovw [6])

URL dieses Artikels:
https://www.heise.de/-4137465

Links in diesem Artikel:
[1] http://www.oracle.com/technetwork/security-advisory/alert-cve-2018-3110-5032149.html
[2] https://www.first.org/cvss/specification-document#5-Qualitative-Severity-Rating-Scale
[3] https://nvd.nist.gov/vuln/detail/CVE-2018-3110
[4] https://login.oracle.com/mysso/signon.jsp
[5] https://www.heise.de/news/Critical-Patch-Update-Oracle-wirft-Paket-mit-334-Sicherheitspatches-ab-4113523.html
[6] mailto:olivia.von.westernhagen@gmail.com

Copyright © 2018 Heise Medien