Présence d'une vulnérabilité critique sur Oracle Database Server

Une vulnérabilité a été identifiée sur la machine virtuelle Java d'Oracle Database Server pour les versions 11.2.0.4, 12.1.0.2, 12.2.0.1 et 18. Une exploitation réussie de la vulnérabilité permettrait à un attaquant disposant du privilège "Create Session" et d'un accès réseau vers le serveur Oracle de prendre le contrôle de la machine virtuelle Java sous-jacente au serveur et d'impacter la disponibilité, l'intégrité et la confidentialité des informations disponibles sur le serveur. Une fois la machine virtuelle Java compromise, il serait également possible de compromettre la base de données ou d'obtenir un accès distant au serveur.

La vulnérabilité impactant la machine virtuelle Java, il est possible que cette dernière impacte d'autres produits à l'avenir.

Informations
+

Risque

  • Élévation de privilèges

Criticité

  • CVSS v3 : 9.9

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Oracle Database Server version 11.2.0.4
  • Oracle Database Server version 12.1.0.2
  • Oracle Database Server version 12.2.0.1
  • Oracle Database Server version 18

CVE

  • CVE-2018-3110

Recommandations
+

Correctifs

  • Des correctifs ont été publiés pour l'ensemble des versions concernées par Oracle.
  • Il est recommandé d'appliquer les mises à jour dès que possible.

Solution de contournement

  • Il n’existe pas actuellement de solutions de contournement.