Oracle แพตช์อุตช่องโหว่ร้ายแรงบน Database

เมื่อวันศุกร์ที่ผ่านมาทาง Oracle ได้ออกแพตช์อุตช่องโหว่ร้ายแรงในผลิตภัณฑ์ Database ซึ่งมีความรุนแรงสูงถึง 9.9 โดยอาจทำให้ผู้โจมตีสามารถเข้าควบคุมผลิตภัณฑ์และได้รับการเข้าถึง Shell ไปยังเซิร์ฟเวอร์

ช่องโหว่หมายเลขอ้างอิง CVE-2018-3110 ส่งผลกระทบกับผลิตภัณฑ์ Oracle เวอร์ชัน 11.2.0.4 และ 12.2.0.1 บน Windows รวมถึงเวอร์ชัน 12.1.0.2 บน Windows, Unix และ Linux ช่องโหว่นี้เกิดบนส่วนประกอบของ Java VM บนเซิร์ฟเวอร์ Database ซึ่งสามารถทำให้ผู้โจมตีเข้าควบคุมเครื่องและได้รับการเข้าถึง Shell ไปยังเซิร์ฟเวอร์ อย่างไรก็ตามทาง Oracle กล่าวว่าการใช้งานช่องโหว่จากภายนอกต้องพิสูจน์ตัวตนก่อน

การอุตช่องโหว่ครั้งนี้ไม่ได้แก้ไขในการติดตั้งแบบ Client-only (การติดตั้งที่ไม่มีเซิร์ฟเวอร์ Database) โดยทาง Oracle เขียนใน Advisory ถึงผลกระทบของช่องโหว่ครั้งนี้ว่า “ความง่ายของการใช้ช่องโหว่นี้ทำให้ผู้โจมตีที่มีสิทธิ์ระดับต่ำมีการสร้างเซสชันที่มีสิทธิ์ระดับสูงด้วยการเข้าถึงเครือข่ายผ่าน Oracle Net ไปแทรกแซง Java VM และส่งผลกระทบอย่างมีนัยสำคัญ หากทำได้สำเร็จผู้โจมตีจะเข้าควบคุมตัว Java VM ได้” นอกจากนี้ยังแนะว่า “ผู้ใช้งานควรรีบอัปเดตทันที” เพราะบริษัทเชื่อว่ามีโอกาสสูงที่ช่องโหว่จะถูกนำไปใช้จริง

ที่มา : https://www.securityweek.com/critical-vulnerability-patched-oracle-database


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

RSA จับมือ DEPA ETDA พัฒนา Thailand Smart City

เมื่อวันพฤหัสบดีที่ 20 มิถุนายน 2019 ที่ผ่านทางทางทีมงาน TechTalkThai ได้มีโอกาสเข้าร่วมสัมภาษณ์กลุ่มกับผู้บริหารจาก RSA ซึ่งได้พูดคุยถึงความร่วมมือกับ DEPA และ ETDA ในการพัฒนาโปรเจ็คด้าน Smart City …

ฟรี eBook: A Developer’s Guide to Building AI Applications โดย Microsoft

Microsoft เปิดให้ดาวน์โหลด eBook เรื่อง A Developer’s Guide to Building AI Applications สำหรับนักพัฒนาที่ต้องการสร้างแอปพลิเคชันและ Bot อัจฉริยะโดยใช้เทคโนโลยี AI …