Vulnerabilidad crítica en Oracle Database Server Java VM permite escalamiento de privilegio

Ha sido encontrada una vulnerabilidad en Oracle Database Server 11.2.0.4/12.1.0.2/12.2.0.1/18 y clasificada como extremadamente crítica. Una función desconocida del componente Java VM es afectada por esta vulnerabilidad. A través de la manipulación de un input desconocido se causa una vulnerabilidad de escalamiento de privilegios.

Este fallo, con una puntuación CVSSv3 de 9.9, podría propiciar el acceso completo a la base de datos y al sistema operativo subyacente.

La vulnerabilidad fue publicada el pasado 10 de agosto y fue identificada como CVE-2018-3110. La vulnerabilidad es relativamente fácil de explotar a causa de su poca complejidad, el ataque puede ser realizado a través de la red y la explotación no requiere ninguna forma de autenticación. No se conocen los detalles técnicos y hasta ahora no hay ningún exploit disponible.

Concretamente, el fallo se encuentra en el componente Java VM. La explotación es trivial, pero requiere al atacante remoto estar autenticado y contar con el privilegio "Create Session", además de acceso a través de Oracle Net.

Pocas veces una empresa con una política periódica de publicación de parches rompe sus ciclos pero, cuando lo hace, normalmente es motivo de preocupación. En este caso le ha tocado a Oracle, que publica sus parches cuatrimestralmente.

La vulnerabilidad ha sido publicada debido a su impacto en las versiones 11.2.0.4 y 12.2.0.1 para Windows. Sin embargo ya en su boletín de julio Oracle parcheaba este mismo fallo para la versión 12.1.0.2 en Windows, y para aquellas bajo sistemas Linux y Unix.

La solución ha sido publicada inmediatamente después de la publicación de la vulnerabilidad y Oracle apela al parcheo inmediato de los sistemas.

Fuente: VulDB

Suscríbete a nuestro Boletín