Schlagwort: Enterprise Software

Kritische Lücken in Oracle Database – Hersteller rät zu sofortigem Update | heise Security

Kritische Lücken in Oracle Database – Hersteller rät zu sofortigem Update


Alert!

15.08.2018 12:10 Uhr
Olivia von Westernhagen

Oracle

(Bild: dpa, Everett Kennedy Brown)

Einige Versionen von Oracle Database weisen eine Sicherheitslücke auf, die die Systemübernahme aus der Ferne ermöglicht. Ein Notfall-Patch steht bereit.

Eine Sicherheitslücke in mehreren Versionen des Datenbankmanagementsystems Oracle Database hat den Hersteller dazu veranlasst, von seiner monatlichen Patch-Routine abzuweichen. In einem Security Alert Advisory schreibt Oracle, dass die Lücke einem entfernten Angreifer im schlimmsten Fall die vollständige Systemkompromittierung einschließlich Shell-Access zum Server ermöglichen könnte. Angesichts eines CVSS-v3-Score von 9.9 (“critical”) wird ein sofortiges Update dringend empfohlen.

Angriffspunkt ist die Java-VM-Komponente von Database. Die Komplexität des Remote-Angriffs auf die mit CVE-2018-3110 bezeichnete Lücke ist laut Advisory niedrig; Voraussetzung ist allerdings das Eröffnen einer Session und somit eine Anmeldung mit entsprechenden Zugriffsrechten.

Patches sind verfügbar

Für die verwundbaren Database-Versionen 11.2.0.4 und 12.2.0.1 unter Windows stehen neue Patches bereit. Registrierte Nutzer können sie aus dem Kundenbereich der Oracle-Website abrufen.

Betroffen sind auch die Version 12.1.0.2 unter Windows sowie sämtliche Linux-/Unix-Versionen von Database. Allerdings hat Oracle diese Versionen bereits mit dem regulären Critical Patch Update im Juli gefixt. Wer versäumt hat, es einzuspielen, sollte dies also umgehend nachholen.

(ovw)

Source

Categories: Sicherheit

Tags: