Oracle 发布了一个公告以应对 Oracle Databases Server 内 Java VM 元件中的漏洞。通过认证的远端攻击者可以经 Oracle NET 来完全控制 Oracle Database 从而攻击这个漏洞。
成功利用这个漏洞可以控制受影响的系统。
现已有适用于受影响系统的修补程式。受影响系统的用户应遵从产品供应商的建议,立即采取行动以降低风险。
适用于 Windows 的 Oracle Database 版本 11.2.0.4 及 12.2.0.1 可从以下连结下载:
http://www.oracle.com/technetwork/security-advisory/alert-cve-2018-3110-5032149.html
适用于 Windows 的 Oracle Database 版本 12.1.0.2 ,以及适用于Linux或Unix的其他版本,相应的修补程式已包括在「Oracle 2018年7月重要修补程式更新(July 2018 Critical Patch Update)」,并涵盖于本网站的保安警报(A18-08-04)。
用户可联络其产品支援供应商,以取得修补程式及有关支援。
http://www.oracle.com/technetwork/security-advisory/alert-cve-2018-3110-5032149.html
http://www.oracle.com/technetwork/security-advisory/alert-cve-2018-3110-verbose-5032194.html
https://www.hkcert.org/my_url/zh/alert/18081401
https://www.us-cert.gov/ncas/current-activity/2018/08/13/Oracle-Releases-Security-Alert
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3110