Oracle Database Server 提权漏洞（CVE-2018-3110）

Oracle Database Server 提权漏洞（CVE-2018-3110）

发布日期：2018-08-14

更新日期：2018-08-15

受影响系统：

Oracle database server 18

Oracle database server 12.2.0.1

Oracle database server 12.1.0.2

Oracle database server 11.2.0.4

描述：

CVE(CAN) ID: CVE-2018-3110

Oracle数据库系统是美国Oracle公司（甲骨文）提供的以分布式数据库为核心的一组软件产品，是目前最流行的客户/服务器(CLIENT/SERVER)或B/S（Browser/Server）体系结构的数据库之一。

Oracle数据库服务器 Java 虚拟机（JVM）组件中存在的提权漏洞（CVE-2018-3110），此漏洞与Oracle官方7月份关键补丁更新（CPU）中修补的提权漏洞（CVE-2018-3004）同源，是该漏洞的升级版，利用方式更加简化。攻击者只需通过认证后连接到数据库，即可控制Java虚拟机，并基于其对JAVA 对象的公共访问授权，完成提权，进而控制全部数据库。

<*来源：vendor

链接： http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

*>

建议：

厂商补丁：

Oracle

------

官方已针对此漏洞发布了补丁，绿盟科技安全服务团队建议用户根据所应用的版本，下载安装对应的补丁文件，链接如下：

https://support.oracle.com/rs?type=doc&id=2394520.1

注：Oracle官方补丁需要用户持有正版软件的许可账号。

:

Oracle Critical Patch Update Advisory：Oracle Critical Patch Update Advisory - July 2018

链接： http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html

Linux公社的RSS地址： https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址： https://www.linuxidc.com/Linux/2018-08/153507.htm