CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

17/08/2018

Oracle publica actualización fuera de ciclo

La actualización publicada corrige una vulnerabilidad crítica detectada en Oracle Database

Riesgo: Crítico

Oracle ha publicado en los últimos días una actualización para su base de datos. Esta actualización, que está fuera del ciclo de actualizaciones programado que tiene la compañía (la última publicación programada se realizó en Julio y la siguiente será en Octubre), se considera crítica y por tanto se recomienda que los afectados tomen las medidas necesarias para aplicarla cuanto antes.

El fallo se ha detectado en el producto Oracle Database, concretamente en el componente Java VM, y permite a un usuario remoto que esté autenticado en el servidor y tenga el privilegio Create Session, tomar el control de la base de datos y acceder al sistema operativo en el que se ejecuta.

Esta vulnerabilidad ya se corrigió en el último boletín de actualizaciones programado lanzado por Oracle en Julio

Sistemas Afectados:

Oracle Database Server, versiones 11.2.0.4, 12.2.0.1 y 18 bajo Windows.

 

Referencias:

CVE-2018-3110

Solución:

Aplicar las actualizaciones que se indican en el boletín publicado por Oracle en caso de tener una versión vulnerable.

Oracle Database Server, versión 12.1.0.2 bajo Windows, y las versiones anteriores para Linux, recibieron el parche para corregir esta vulnerabilidad en el último boletín de actualizaciones programado lanzado por Oracle en Julio. Se recomienda encarecidamente aplicarlo si no se ha aplicado ya.

Fuente: ORACLE

CSIRT-CV