L’azienda ha rilasciato una patch per il componente Sun Storagetek Availability Suite: se sfruttata, la vulnerabilità permette di guadagnare i permessi di amministratore. Il bug avrebbe già dovuto essere risolto nel 2009, ma il correttivo sviluppato allor
Oracle torna su un bug vecchio di almeno dieci anni e rilascia una nuova patch, con la speranza di aver risolto definitivamente il problema. Il baco è stato individuato nel sistema operativo Solaris e, nello specifico, nel componente Sun Storagetek Availability Suite (Avs): se sfruttata correttamente in locale, la vulnerabilità potrebbe portare a una escalation di privilegi, consegnando le macchine nelle mani degli hacker. Come sottolineato dalla società di sicurezza Trustwave, la storia del bug (presente nelle versioni 10 e 11 di Oracle Solaris) risale almeno al 2007. Una prima patch fu rilasciata nel 2009, dopo la scoperta del problema, ma analizzando nuovamente il codice i ricercatori si sono accorti di come la pezza fosse incompleta e consentisse ancora l’esecuzione di script maligni. La falla (Cve-2018-2892) ha una gravità di 7,8 su 10 secondo la scala Cvss.
Il punteggio non è altissimo proprio perché, per sfruttarla, un cybercriminale dovrebbe avere accesso locale al sistema. Ma rimane comunque molto pericolosa: gli hacker, ricorrendo per esempio a tecniche di social engineering, potrebbero carpire nome utente e password dei dipendenti di un’azienda ed effettuare così il login.
Il consiglio, quindi, è quello di applicare immediatamente i correttivi rilasciati dal vendor. Correttivi contenuti nell’ampia tornata di aggiornamenti software di luglio. L’elenco completo di tutte le patch sviluppate da Oracle è disponibile a questa pagina.