Kritische Lücken in Oracle Database – Hersteller rät zu sofortigem Update
Einige Versionen von Oracle Database weisen eine Sicherheitslücke auf, die die Systemübernahme aus der Ferne ermöglicht. Ein Notfall-Patch steht bereit.
![Oracle](https://heise.cloudimg.io/width/610/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/2/4/8/2/9/3/2/urn-newsml-dpa-com-20090101-160915-99-470904_large_4_3-24a14c74d6ff1998.jpeg)
(Bild: dpa, Everett Kennedy Brown)
Eine Sicherheitslücke in mehreren Versionen des Datenbankmanagementsystems Oracle Database hat den Hersteller dazu veranlasst, von seiner monatlichen Patch-Routine abzuweichen. In einem Security Alert Advisory schreibt Oracle, dass die Lücke einem entfernten Angreifer im schlimmsten Fall die vollständige Systemkompromittierung einschließlich Shell-Access zum Server ermöglichen könnte. Angesichts eines CVSS-v3-Score von 9.9 ("critical") wird ein sofortiges Update dringend empfohlen.
Angriffspunkt ist die Java-VM-Komponente von Database. Die Komplexität des Remote-Angriffs auf die mit CVE-2018-3110 bezeichnete Lücke ist laut Advisory niedrig; Voraussetzung ist allerdings das Eröffnen einer Session und somit eine Anmeldung mit entsprechenden Zugriffsrechten.
Patches sind verfügbar
Für die verwundbaren Database-Versionen 11.2.0.4 und 12.2.0.1 unter Windows stehen neue Patches bereit. Registrierte Nutzer können sie aus dem Kundenbereich der Oracle-Website abrufen.
Betroffen sind auch die Version 12.1.0.2 unter Windows sowie sämtliche Linux-/Unix-Versionen von Database. Allerdings hat Oracle diese Versionen bereits mit dem regulären Critical Patch Update im Juli gefixt. Wer versäumt hat, es einzuspielen, sollte dies also umgehend nachholen. (ovw)