Oracle schließt kritische Lücke in Database Server für Windows

Sie hat einen CVSS-Wert von 9,9. Ein Angreifer erhält möglicherweise die Kontrolle über eine Oracle-Datenbank und zudem Shell-Zugriff auf den Windows-Server. Aus der Ferne lässt sich die Anfälligkeit aber nur mit gültigen Anmeldedaten ausnutzen.

Oracle hat ein Sicherheitsupdate für Oracle Database Server für Windows veröffentlicht. Es beseitigt eine als kritisch eingestufte Schwachstelle (CVE-2018-3110), die im zehnstufigen Common Vulnerability Scoring System (CVSS) mit 9,9 Punkten bewertet ist. Ein Angreifer kann nicht nur die vollständige Kontrolle über eine betroffene Datenbank erlangen, sondern auch Shell-Zugriff auf den Windows-Server, auf dem die Datenbank ausgeführt wird.

Oracle (Bild: Oracle)Der Fehler steckt in einer Java-Virtual-Machine-Komponente der Datenbanken 11g, 12c und 18c. Anfällig sind unter anderem die Oracle-Datenbanken 11.2.0.4 und 12.2.0.1 für Windows. Auch die Version 12.1.0.2 für Windows, Linux und Unix ist betroffen – für Linux und Unix steht allerdings schon seit Juli ein Patch zur Verfügung.

Die Updates können über die Sicherheitswarnung für CVE-2018-3110 bezogen werden. Oracle rät Administratoren, die eine der fraglichen Datenbanken einsetzen, die Patches so schnell wie möglich zu installieren. „Aufgrund der Natur dieser Anfälligkeit empfiehlt Oracle dringend, dass Kunden unverzüglich Maßnahmen ergreifen.“

Der Fehler lässt sich dem Advisory zufolge aus der Ferne ausnutzen. Ein Angreifer soll jedoch gültige Anmeldedaten für den Remotezugriff benötigen. Ein Angriff soll aber auch von einem Benutzer mit niedrigen Rechten ausgeführt werden können. „Obwohl die Anfälligkeit in Java VM steckt, könnten Angriffe wesentliche Auswirkungen auf andere Produkte haben. Erfolgreiche Angriffe können zu einer Übernahme der Java VM führen“, teilte Oracle mit.

Darüber hinaus sollten Oracle-Kunden eine Sicherheitswarnung zur den Intel-CPU-Bugs Foreshadow beachten. Um die Auswirkungen von möglichen Angriffen zu minimieren, sollen Kunden, die Oracle-Software auf Intel-Prozessoren ausführen, die verfügbaren Microcode-Updates von Intel sowie Patches für Betriebssysteme und Virtualisierungsumgebungen installieren. In einigen Situationen sei auch die Deaktivierung von Intel Hyper-Threading hilfreich – für sich genommen sei dies jedoch keine Lösung zum Schutz vor Foreshadow-Angriffen. Server mit SPARC-Prozessoren von Oracle seien indes nicht betroffen.

HIGHLIGHT

Report: Entwicklung der Cloud-Nutzung

McAfee befragte im Rahmen der jährlichen Forschungsstudie zur Cloud-Sicherheit und der Migration zur Cloud mehr als 1.400 IT-Experten. Dieser Bericht zeigt den Stand der Dinge bei Cloud-Sicherheit auf und bietet praktische Hinweise. Jetzt herunterladen!

Themenseiten: Datenbank, Java, Oracle, Security, Server, Sicherheit, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Oracle schließt kritische Lücke in Database Server für Windows

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *