Oracle แพตช์อุตช่องโหว่ร้ายแรงบน Database

เมื่อวันศุกร์ที่ผ่านมาทาง Oracle ได้ออกแพตช์อุตช่องโหว่ร้ายแรงในผลิตภัณฑ์ Database ซึ่งมีความรุนแรงสูงถึง 9.9 โดยอาจทำให้ผู้โจมตีสามารถเข้าควบคุมผลิตภัณฑ์และได้รับการเข้าถึง Shell ไปยังเซิร์ฟเวอร์

ช่องโหว่หมายเลขอ้างอิง CVE-2018-3110 ส่งผลกระทบกับผลิตภัณฑ์ Oracle เวอร์ชัน 11.2.0.4 และ 12.2.0.1 บน Windows รวมถึงเวอร์ชัน 12.1.0.2 บน Windows, Unix และ Linux ช่องโหว่นี้เกิดบนส่วนประกอบของ Java VM บนเซิร์ฟเวอร์ Database ซึ่งสามารถทำให้ผู้โจมตีเข้าควบคุมเครื่องและได้รับการเข้าถึง Shell ไปยังเซิร์ฟเวอร์ อย่างไรก็ตามทาง Oracle กล่าวว่าการใช้งานช่องโหว่จากภายนอกต้องพิสูจน์ตัวตนก่อน

การอุตช่องโหว่ครั้งนี้ไม่ได้แก้ไขในการติดตั้งแบบ Client-only (การติดตั้งที่ไม่มีเซิร์ฟเวอร์ Database) โดยทาง Oracle เขียนใน Advisory ถึงผลกระทบของช่องโหว่ครั้งนี้ว่า “ความง่ายของการใช้ช่องโหว่นี้ทำให้ผู้โจมตีที่มีสิทธิ์ระดับต่ำมีการสร้างเซสชันที่มีสิทธิ์ระดับสูงด้วยการเข้าถึงเครือข่ายผ่าน Oracle Net ไปแทรกแซง Java VM และส่งผลกระทบอย่างมีนัยสำคัญ หากทำได้สำเร็จผู้โจมตีจะเข้าควบคุมตัว Java VM ได้” นอกจากนี้ยังแนะว่า “ผู้ใช้งานควรรีบอัปเดตทันที” เพราะบริษัทเชื่อว่ามีโอกาสสูงที่ช่องโหว่จะถูกนำไปใช้จริง

ที่มา : https://www.securityweek.com/critical-vulnerability-patched-oracle-database


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

พบช่องโหว่บนแอปพลิเคชัน ES File Explorer ผู้ใช้กว่าร้อยล้านตกอยู่ในความเสี่ยง

Robert Baptiste นักวิจัยด้านความมั่นคงปลอดภัยได้พบช่องโหว่บนแอปพลิเคชัน ES File Explorer หรือโปรแกรมจัดการไฟล์ในฝั่งแอนดรอยด์ที่มียอดดาวน์โหลดกว่า 100 ล้านครั้ง โดยช่องโหว่ทำให้แฮ็กเกอร์สามารถโหลดข้อมูลจากอุปกรณ์และ SD Card ของเหยื่อออกมาได้ นอกจากนี้นักวิจัยได้จัดทำวีดีโอสาธิตไว้ด้วย

Cisco Webinar: Cloud-managed Network Meraki Security Camera and MDM

Cisco ขอเรียนเชิญเหล่า IT Manager, Network Engineer, IT Admin, Security Engineer และผู้ที่เกี่ยวข้องกับการดูแลระบบ IT ภายในองค์กรทุกท่าน เข้าร่วมฟัง Cisco Webinar ในหัวข้อเรื่อง "Cisco Meraki Webinar Series 3: Cloud-managed Network Meraki Security Camera and MDM" โดย Cisco Systems ประเทศไทย ในวันอังคารที่ 22 มกราคม 2019 เวลา 14.00 – 15.30 น. พร้อมลุ้นรับ Meraki MX Series มูลค่า 20,000 บาทไปใช้ฟรีๆ