Oracle は、重大なリモート コード実行の脆弱性が発見され公表されたことを受けて、顧客にデータベース ソフトウェアを更新するよう勧告しています。
CVE-2018-3110と呼ばれるこの欠陥には、CVSSベーススコア9.9(10点満点)が与えられており、Oracleは、このバグの悪用に成功すると「Oracleデータベースが完全に侵害され、基盤となるサーバーへのシェルアクセスが可能になる可能性がある」と警告している。
「この脆弱性の性質上、オラクルは顧客に対し遅滞なく対応することを強く推奨する」とオラクルは述べている。
脆弱なデータベースサーバーのバージョンには、11.2.0.4、12.1.0.2、12.2.0.1、および18が含まれます。管理者はOracleのアップデートをできるだけ早くインストールすることをお勧めします。発見および報告の功績は認められていません。
オラクル、不具合修正のため新無料ミニデータベースのリリースを一時凍結
続きを読む
この脆弱性自体はOracle Database ServerのJavaVMコンポーネントに存在し、攻撃者がOracleサーバーがクライアントアプリケーションとの接続に使用するプロトコルであるOracle Netを介してサーバーに接続する必要があるため、リモートコードエクスプロイト脆弱性とはみなされません。ただし、それ以外に、ホストサーバーを完全に制御できる攻撃を成功させるために必要な条件はほとんどありません。
National Vulnerability Database は、このバグに関する記事の中で、「この脆弱性は簡単に悪用できるため、Oracle Net 経由でネットワークにアクセスして Create Session 権限を持つ低い権限の攻撃者が Java VM を侵害できる」と述べています。
この脆弱性はJava VMに存在するため、攻撃は他の製品にも重大な影響を及ぼす可能性があります。この脆弱性を悪用した攻撃が成功すると、Java VMが乗っ取られる可能性があります。
Oracle のパッチにより、IT 部門と管理者にとって忙しい週がさらに増えることになるだろう。
この修正に加えて、Microsoft は本日、Windows、Office、Internet Explorer/Edge 向けの月例パッチ セキュリティ アップデートをリリースしており、Adobe は Flash Player、Acrobat/Reader、Creative Cloud、Experience Manager のセキュリティ ホールに対する修正を公開しています。
私たちのアドバイスは、コーヒーポットを手元に置いて、これがすべて終わったときのためにパブのテーブルを予約しておくことです。®
