Vulnérabilité critique découverte dans la machine virtuelle Java des serveurs de base de données Oracle
CVE: CVE-2018-3310
CVSS: 9.9
Sources
http://www.oracle.com/technetwork/security-advisory/alert-cve-2018-3110-...
https://www.security-database.com/detail.php?alert=CVE-2018-3110
http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html
Risques
Cette vulnérabilité, si elle est exploitée, pourrais donner des accès privilégiés à une session existante. L’acteur malveillant doit pour cela avoir accès au réseau et posséder des identifiants valides pour compromettre la machine virtuelle Java. Cette vulnérabilité peut avoir un impact sur d’autres produits utilisant la Machine virtuelle Java.
Description
La vulnérabilité a été découverte dans la machine virtuelle Java qui est un composant des serveurs de base de données Oracle. Les versions affectées sont les suivantes : 11.2.0.4, 12.1.0.2, 12.2.0.1 et 18.
Cette vulnérabilité est simple à exploiter et permet à un acteur malveillant possédant des identifiants valides et ayant accès au réseau d’obtenir des privilèges supérieurs. Cette attaque se fait via le protocole Oracle Net pour compromettre la machine virtuelle Java. Une attaque réussie peut mener à un prise de contrôle de la machine virtuelle Java ainsi que des produits l’utilisant pour leur fonctionnement.
Actions recommandées
Cert.be recommande aux utilisateurs de garder leurs systèmes à jour. La mise à jour résolvant le problème est disponible à l’adresse suivante : http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html