Oracle JavaVMデータベースのテイクオーバー

Oracle Database JavaVMコンポーネントに見つかった新しい脆弱性は、データベースへの完全な侵入、およびそのサーバーへのアクセスにつながる恐れがあります。

背景

Oracleは、JavaVMコンポーネントの認証済みの脆弱性に対して、同社のフラッグシップデータベース製品の範囲外のアップデートをリリースしました。Oracleによると、この脆弱性は「Oracle Databaseの完全な侵害、およびそのサーバーへのアクセスにつながる可能性がある」とのことです。同様の問題が見つかり、2018年7月のCPUにてパッチされましたが、特定されていない理由のため、致命的な脆弱性とは報告されませんでした。

脆弱性の詳細

Oracleによると、この脆弱性は「Windowsでのバージョン11.2.0.4と12.2.0.1に影響します。CVE-2018-3110のCVSS v3ベーススコアは9.9であり、Oracle Databaseおよびそのサーバーの完全な侵害につながる可能性があります。CVE-2018-3110はまた、WindowsでのOracle Databaseバージョン12.1.0.2、およびLinuxとUnixのOracle Databaseにも影響を与えますが、これらのバージョンおよびプラットフォームに対するパッチは、2018年7月のCPUに含まれています」とのことです。

この脆弱性は、Windows Oracleデータベースに「Oracle Net」プロトコルを経由して影響し、JavaVMコンポーネントの「Create Session」権限を持つユーザーを必要とします。アドバイザリーではクレジットは提供されませんでしたが、これは他の多くのOracleの脆弱性同様、悪用の詳細が乏しかったためです。

注: 7月のCPUのCVE-2018-3004が関連してるように見えますが、同じコンポーネントが影響を受けていることから、OracleはこれらのCVEは無関係であり、ユーザーを保護するために製品ラインのサブセットに対して、CVE-2018-3110の修正は公表せずに7月のCPUに含まれていたと明言しました。

影響の評価

この脆弱性を悪用するためにデータベース認証が必要であったため、その影響は弱まりました。しかし、データベースの完全なテイクオーバーの可能性は、それぞれの環境にOracleデータベースを抱える全ての人が即座に修復プロセスを実行すべきであることを意味します。7月のCPUでパッチされたOracleデータベースのバージョンを実行している企業は保護されています。

緊急措置が必要

お客様のビジネスでOracleデータベースをご使用の場合、Oracleのガイダンスに沿って直ちにアップデートされることを推奨します。

Tenable.io Vulnerability Management、Tenable.io Container Security、SecurityCenterおよびNessusはこの脆弱性を検出します。以下に、お客様がご使用の環境におけるOracleデータベースが影響を受けているかどうかを特定するために、Tenableがリリースしたプラグイン一覧を示します。Tenableはこの状況を引き続き監視し、必要に応じて最新の保護を提供します。

詳しくはこちらから

• Oracleアドバイザリー
• Oracleブログ

現代のアタックサーフェスを総合的に管理するCyber Exposureプラットフォーム、Tenable.ioの詳細はこちら。Tenable.io Vulnerability Managementの60日間無料トライアルをお試し下さい。