【处置建议】Oracle Database提权漏洞CVE-2018-3110

近日,Oracle官方发布了安全通告,Oracle数据库服务器Java虚拟机(JVM)组件中存在的提权漏洞(CVE-2018-3110),攻击者只需通过认证后连接到数据库,即可控制Java虚拟机,并基于其对JAVA 对象的公共访问授权,完成提权,进而控制全部数据库。

Oracle数据库系统是美国Oracle公司(甲骨文)提供的以分布式数据库为核心的一组软件产品,是目前最流行的客户/服务器(CLIENT/SERVER)或B/S(Browser/Server)体系结构的数据库之一。

近日,Oracle官方发布了安全通告,Oracle数据库服务器Java虚拟机(JVM)组件中存在的提权漏洞(CVE-2018-3110),此漏洞与Oracle官方7月份关键补丁更新(CPU)中修补的提权漏洞(CVE-2018-3004)同源,是该漏洞的升级版,利用方式更加简化。攻击者只需通过认证后连接到数据库,即可控制Java虚拟机,并基于其对JAVA 对象的公共访问授权,完成提权,进而控制全部数据库。

预警编号:NS-2018-0022

危害等级:高,攻击者可利该漏洞进行提权,从而控制整个数据库。

CVSS评分为9.9,威胁程度较严重。

为保证数据系统及数据的安全性,请使用Oracle数据库的用户及时下载相应补丁。

影响范围

此漏洞(CVE-2018-3110)的影响范围是所有官方当前支持的数据库版本,但部分版本已在2018年7月的升级补丁(CPU)中修复。

  • Window系统下,2.0.4、12.2.0.1及18版本的Oracle Database产品均受此漏洞影响(包括已安装7月份升级补丁(CPU)的产品)。Windows系统下已安装7月份升级补丁(CPU)的12.1.0.2版本数据库产品则不受此漏洞影响。否则,请尽快安装补丁,实现安全加固,排除被攻击利用的风险;
  • Linux及Unix系统下,已安装7月份升级补丁(CPU)的Oracle Database产品将不受此漏洞影响。未安装此补丁的数据库产品需尽快安装,否则将存在被攻击者利用的风险。

 

漏洞排查

版本检测

连接到数据库后,使用如下查询语句可查看当前数据库版本:

SQL> select * from v$version;

返回结果如下:

若版本号处于受影响范围内,请参考3.2章节查看补丁安装的情况,则用户可能由此漏洞影响,需尽快安装相关补丁。

补丁安装情况检测

用户可使用以下命令查看Oracle Database补丁当前安装情况:

$ $ORACLE_HOME/OPatch/opatch lsinventory

如果出现上图红框中的提示,说明没有安装过补丁,当前环境存在风险,请相关用户及时登录Oracle官网进行补丁下载并安装。

RSAS检测

绿盟科技RSAS将会发布针对此漏洞的扫描插件。请关注绿盟科技官网,及时更新扫描插件。下载链接如下:

http://update.nsfocus.com/update/listRsasDetail/v/vulsys

漏洞防护

官方已针对此漏洞发布了补丁,绿盟科技安全服务团队建议用户根据所应用的版本,下载安装对应的补丁文件,链接如下:

https://support.oracle.com/rs?type=doc&id=2394520.1

注:Oracle官方补丁需要用户持有正版软件的许可账号。

参考链接:

http://www.oracle.com/technetwork/security-advisory/alert-cve-2018-3110-5032149.html

https://blogs.oracle.com/oraclesecurity/security-alert-cve-2018-3110-released

声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。

发表评论