漏洞预警 | CVE-2018-3110 Oracle数据库服务器Java虚拟机漏洞

CVE-2018-3110

2018年8月10日，Oracle发布安全通告，对Oracle数据库服务器中Java虚拟机存在的漏洞CVE-2018-3110进行了预警。此漏洞CVSS评分为9.9分，影响较为严重，用户应及时进行更新。

CVE-2018-3110影响Oracle数据库Windows版11.2.0.4与12.2.0.1，同时对全平台12.1.0.2且未应用2018年7月CPU的版本也会产生影响。除此之外，老版本很可能均会受到其影响。

此漏洞与2018年7月发布的CPU中的CVE-2018-3004同源，攻击方式更为简化。

此漏洞会被攻击者利用通过Oracle Net攻击Java虚拟机，虽然此漏洞存在于Java虚拟机中，但可被利用来攻击其他的产品与服务。攻击者攻击成功后可接管整个Java虚拟机。

下为官方通告中受影响产品及补丁可用性文档：

Affected Products and Versions
Patch Availability Document

漏洞补丁仅适用于拥有Premier Support以及Extended Support服务的产品，不在此列的产品并未测试是否会受到此漏洞影响，但是仍旧推荐用户升级到更高级的服务以获取安全补丁。

以下为官方通告中此漏洞风险矩阵：

CVE#
组件
需求
协议
无授权远程利用
CVSS VERSION 3.0 RISK (风险矩阵定义)

受影响版本
其他

评分
攻击向量
攻击复杂度
权限需求
用户干涉
范围
保密性
完整性
可用性

CVE-2018-3110
Java虚拟机
创建会话
Oracle Net
否
9.9
网络
低
低
无
可变
高
高
高
11.2.0.4, 12.1.0.2, 12.2.0.1, 18

文章原文链接:https://www.anquanke.com/post/id/156119