Oracle a communiqué le 10/08/2018 une alerte sécurité concernant les bases de données : « Oracle Security Alert for CVE-2018-3110 » (http://www.oracle.com/technetwork/security-advisory/alert-cve-2018-3110-5032149.html).
Cette alerte a un score de 9.9 sur 10 (Risk Matrix Definitions, http://www.oracle.com/technetwork/topics/security/advisorymatrixglossary-101807.html).
Les versions 11.2.0.4, 12.1.0.2, 12.2.0.1 et 18 (Unix/Linux/Windows) sont concernées :
CVE# |
CVSS VERSION 3.0 RISK (see Risk Matrix Definitions) |
Supported Versions Affected |
||||||||
Base |
Attack |
Attack |
Privs |
User |
Scope |
Confid- |
Inte- |
Avail- |
||
CVE-2018-3110 |
9.9 |
Network |
Low |
Low |
None |
Changed |
High |
High |
High |
11.2.0.4, 12.1.0.2, 12.2.0.1, 18 |
Cette alerte n’est pas exploitable sans authentification. Toutefois, Oracle recommande fortement l’application des correctifs.
Pour les version 11.2.0.4 et 12.2.0.1 sur Windows, un patch est disponible. Pour les versions 12.1.0.2 sur Windows ou sur toutes autres versions sur Linux/Unix, il est nécessaire d’appliquer le CPU (Critical Patch Update).