Oracle 發布了一個公告以應對 Oracle Databases Server 內 Java VM 元件中的漏洞。通過認證的遠端攻擊者可以經 Oracle NET 來完全控制 Oracle Database 從而攻擊這個漏洞。
成功利用這個漏洞可以控制受影響的系統。
現已有適用於受影響系統的修補程式。受影響系統的用戶應遵從產品供應商的建議,立即採取行動以降低風險。
適用於 Windows 的 Oracle Database 版本 11.2.0.4 及 12.2.0.1 可從以下連結下載:
http://www.oracle.com/technetwork/security-advisory/alert-cve-2018-3110-5032149.html
適用於 Windows 的 Oracle Database 版本 12.1.0.2 ,以及適用於Linux或Unix的其他版本,相應的修補程式已包括在「Oracle 2018年7月重要修補程式更新(July 2018 Critical Patch Update)」,並涵蓋於本網站的保安警報(A18-08-04)。
用戶可聯絡其產品支援供應商,以取得修補程式及有關支援。
http://www.oracle.com/technetwork/security-advisory/alert-cve-2018-3110-5032149.html
http://www.oracle.com/technetwork/security-advisory/alert-cve-2018-3110-verbose-5032194.html
https://www.hkcert.org/my_url/zh/alert/18081401
https://www.us-cert.gov/ncas/current-activity/2018/08/13/Oracle-Releases-Security-Alert
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3110