image

Noodpatch voor ernstig lek in Windowsversie Oracle Database

zondag 12 augustus 2018, 10:28 door Redactie, 8 reacties

Oracle heeft buiten de vaste patchcyclus om een noodpatch uitgebracht voor een ernstig beveiligingslek in de Windowsversie van Oracle Database Server. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die beoordeeld met een 9,9.

Via het beveiligingslek kan een aanvaller de Oracle Database volledig compromitteren en shelltoegang tot de onderliggende server krijgen. Oracle komt om de drie maanden op een vast moment met beveiligingsupdates. De kwetsbaarheid werd in juli al gepatcht in Oracle Database versie 12.1.0.2 voor Windows, alsmede Oracle Database voor Linux en Unix.

Nu is er een aparte beveiligingsupdate uitgebracht voor Oracle Database versie 11.2.0.4 en 12.2.0.1 voor Windows. Oracle adviseert organisaties vanwege de ernst van de kwetsbaarheid de beveiligingsupdate direct te installeren. Beheerders die Oracle Database versie 12.1.0.2 voor Windows draaien of een versie voor Linux of Unix en de beveiligingsupdates van juli nog niet hebben geïnstalleerd worden opgeroepen dit alsnog te doen. De volgende vaste patchronde van Oracle staat gepland voor 16 oktober 2018.

Reacties (8)
12-08-2018, 10:31 door Anoniem
Wat een gezeik met die updates! Pas geleden weer een update binnen kan ik weer alle privacyinstellingen langslopen (O&O SHUT UP) om de boel dicht te timmeren!
12-08-2018, 13:34 door karma4
Door Anoniem: Wat een gezeik met die updates! Pas geleden weer een update binnen kan ik weer alle privacyinstellingen langslopen (O&O SHUT UP) om de boel dicht te timmeren!

Lees even, het gaat om Oracle:
Via het beveiligingslek kan een aanvaller de Oracle Database volledig compromitteren en shelltoegang tot de onderliggende server krijgen.
De oracle desktop cliënt die de server kant (Linux) zelf open legt in een shell. Krijg je gewoonlijk nog eens high privilged rechten mee in de shell omdat dat soort server instaltaties snel enter-enter het werkt toch gedaan worden. Geen onderscheid in logging software-installatie dan wel de runtime processen.
12-08-2018, 16:07 door Tha Cleaner
Door Anoniem: Wat een gezeik met die updates! Pas geleden weer een update binnen kan ik weer alle privacyinstellingen langslopen (O&O SHUT UP) om de boel dicht te timmeren!
Blijkbaar is door "zo'n update" ook je lettertype aangepast, want als je het artikel had gelezen, dan had je lezen dat dit over een ORACLE patch gaat.
13-08-2018, 08:13 door -karma4 - Bijgewerkt: 13-08-2018, 08:13
Door karma4:
Door Anoniem: Wat een gezeik met die updates! Pas geleden weer een update binnen kan ik weer alle privacyinstellingen langslopen (O&O SHUT UP) om de boel dicht te timmeren!

Lees even, het gaat om Oracle:
Via het beveiligingslek kan een aanvaller de Oracle Database volledig compromitteren en shelltoegang tot de onderliggende server krijgen.
De oracle desktop cliënt die de server kant (Linux) zelf open legt in een shell. Krijg je gewoonlijk nog eens high privilged rechten mee in de shell omdat dat soort server instaltaties snel enter-enter het werkt toch gedaan worden. Geen onderscheid in logging software-installatie dan wel de runtime processen.

Lees zelf even! Het gaat om een patch Oracle Database Server voor Windows! Alleen voor Windows want het bijzonder ernstige probleem (9,9 op een schaal van 1 tot 10) is niet aanwezig in de Linux of Unix versies. Altijd weer dat Windows wat voor de grootste problemen zorgt!
13-08-2018, 09:08 door Anoniem
Door The FOSS:
Lees zelf even! Het gaat om een patch Oracle Database Server voor Windows! Alleen voor Windows want het bijzonder ernstige probleem (9,9 op een schaal van 1 tot 10) is niet aanwezig in de Linux of Unix versies. Altijd weer dat Windows wat voor de grootste problemen zorgt!

Ach wat sneu, heb je niet iemand die je kan bellen om je frustraties te bespreken?

De rest hier op het forum weet inmiddels al lang dat kwetsbaarheden in alle applicaties, op alle platformen voorkomen. Maar natuurlijk komt niet elke kwetsbaarheid op elke combinatie voor. Nota bene het artikel over deze patch stelt:

"If you are running version 12.1.0.2 on Windows or any version of the database on Linux or Unix and have not yet applied the July 2018 CPU, please do so."

En als je die July update bekijkt, zie je:

"This Critical Patch Update contains 334 new security fixes... "
13-08-2018, 10:02 door Anoniem
Door The FOSS:
Door karma4:
Door Anoniem: Wat een gezeik met die updates! Pas geleden weer een update binnen kan ik weer alle privacyinstellingen langslopen (O&O SHUT UP) om de boel dicht te timmeren!

Lees even, het gaat om Oracle:
Via het beveiligingslek kan een aanvaller de Oracle Database volledig compromitteren en shelltoegang tot de onderliggende server krijgen.
De oracle desktop cliënt die de server kant (Linux) zelf open legt in een shell. Krijg je gewoonlijk nog eens high privilged rechten mee in de shell omdat dat soort server instaltaties snel enter-enter het werkt toch gedaan worden. Geen onderscheid in logging software-installatie dan wel de runtime processen.

Lees zelf even! Het gaat om een patch Oracle Database Server voor Windows! Alleen voor Windows want het bijzonder ernstige probleem (9,9 op een schaal van 1 tot 10) is niet aanwezig in de Linux of Unix versies. Altijd weer dat Windows wat voor de grootste problemen zorgt!

Het lek zit in de Oracle server software, niet in het Windows OS.
Lekker trollen?
13-08-2018, 10:31 door Anoniem
voordat er weer een flame opvliegt; ik citeer

"Nu is er een aparte beveiligingsupdate uitgebracht voor Oracle Database versie 11.2.0.4 en 12.2.0.1 voor Windows."

probleem is de zin ervoor die (klaarblijkelijk) over een andere update gaat die dezelfde issue zou aangepakt moeten hebben:

"De kwetsbaarheid werd in juli al gepatcht in Oracle Database versie 12.1.0.2 voor Windows, alsmede Oracle Database voor Linux en Unix."

We moeten dus concluderen dat de oorspronkelijke windows patch niet van toepassing was op de versies 11.2.0.4 en 12.2.0.1 op windows en een 2e extra patch nodig is.

Dit wordt bevestigd in de bron:

http://www.oracle.com/technetwork/security-advisory/alert-cve-2018-3110-5032149.html

"This Security Alert addresses an Oracle Database vulnerability in versions 11.2.0.4 and 12.2.0.1 on Windows. CVE-2018-3110 has a CVSS v3 base score of 9.9, and can result in complete compromise of the Oracle Database and shell access to the underlying server. CVE-2018-3110 also affects Oracle Database version 12.1.0.2 on Windows as well as Oracle Database on Linux and Unix, however patches for those versions and platforms were included in the July 2018 CPU. "

en nu al die egotjes kalm aan doen en niet te trigger happy posten please. hou het profesioneel!
14-08-2018, 08:28 door Anoniem
Door Anoniem: en nu al die egotjes kalm aan doen en niet te trigger happy posten please. hou het profesioneel!

:)

Eminus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.