Vulnerabilidad crítica en software de base de datos Oracle

Vulnerabilidad crítica en software de base de datos OracleHace escasos días que Oracle descubrió una vulnerabilidad crítica en su producto de base de datos. El fallo, identificado como CVE-2018-3110, ha recibido una puntuación de severidad de 9.9 y por tanto se nos urge a actualizar todos los paquetes de este software que tengamos en la empresa.

La firma publicó el pasado viernes parches de seguridad que podéis descargar, además de un aviso de seguridad.

Software de Oracle para base de datos vulnerable

Dicha vulnerabilidad reside en el componente de máquina virtual de Java (JVM). Un atacante remoto con autenticación previa podría tomar el control completo del producto, lo que a su vez derivaría en la consecución de un acceso mediante terminal al servidor.

Este problema viene identificado como CVE-2018-3110 y afecta a Oracle Database 11.2.0.4, 12.2.0.1, 12.1.0.2 en Windows y la versión 12.1.0.2 en sistemas UNIX o Linux.

Vulnerabilidad en el componente de Java VM del Servidor de base de datos Oracle. […] fallo de seguridad fácilmente explotable permite a un atacante con escasos privilegios y con acceso de red mediante Oracle Net -que posea el privilegio “create session”- comprometer la máquina virtual de Java.

Los ataques podrían impactar a otros productos y su explotación satisfactoria podría resultar en el compromiso de la JVM.

Parches de seguridad publicados

La empresa insiste y deberíamos hacer caso: es necesario aplicar las actualizaciones correctivas lo antes posible. La versión de Oracle Database Server 12.1.0.2 ya ha sido parcheada en sistemas Windows y basados en  UNIX mediante los parches para CPU ya publicados por la firma en Julio, al encontrarse vulnerabilidades en Oracle Weblogic.

En resumen:

  • Clientes con versiones de Oracle Database 11.2.0.4 y 12.2.0.1 de Windows deberían aplicar los parches descritos en la alerta de seguridad.
  • Clientes con versiones 12.1.0.2 en Windowsy cualquier versión de UNIX/Linux deberían aplicar los parches anterioremnte citados correspondientes a Julio.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.