Tenable ブログ
ブログ通知を受信する
10月のOracle Critical Patch Update、脆弱性を180件修正
オラクルは、10月のCritical Patch Updateで、180件の脆弱性に対処する219のセキュリティパッチをリリースしました。これには、Oracle NoSQL Databaseにおける「緊急」の脆弱性が含まれています。
10月15日、オラクルは四半期毎の脆弱性に対する修正プログラムの一環として、2019年10月Critical Patch Update(CPU)をリリースしました。このアップデートには、複数のオラクル製品における219のパッチが含まれ、180件の脆弱性が修正されています。以下は、今月のリリースで対処された脆弱性を持つ製品ファミリの完全なリストです。
- Oracle Construction and Engineering
- Oracle Database Server
- Oracle E-Business Suite
- Oracle Enterprise Manager
- Oracle Financial Services Applications
- Oracle Food and Beverage Applications
- Oracle Fusion Middleware
- Oracle GraalVM
- Oracle Health Sciences Applications
- Oracle Hospitality Applications
- Oracle Hyperion
- Oracle JD Edwards
- Oracle Java SE
- Oracle MySQL
- Oracle NoSQL Database
- Oracle PeopleSoft
- Oracle Policy Automation
- Oracle Retail Applications
- Oracle Siebel CRM
- Oracle Supply Chain
- Oracle Support Tools
- Oracle Systems
- Oracle Virtualization
分析
この四半期のCPUには、CVSS 9以上の脆弱性も含まれています。 これらの脆弱性が悪用されると、認証されていないユーザーによるアクセスまたは脆弱な資産の完全な乗っ取りが引き起されるおそれがあります。ここでは、CVSS 9以上のCVEの一部について詳しく説明します。
Oracle NoSQL Database | CVE-2018-14721
今月対処された脆弱性の中で最も注目すべきものの1つはOracle NoSQL Databaseの脆弱性CVE-2018-14721で、19.3.12より前のすべてのバージョンに影響を与えます。この脆弱性は、jackson-databind NoSQLコンポーネントに存在します。この脆弱性を悪用すると、HTTP経由のネットワークアクセスを持つ認証されていない攻撃者により、Oracle NoSQL Databaseが乗っ取られるおそれがあります。この脆弱性は、オラクルの2019年1月のCPU、および、他のオラクル製品で以前に対処されています。
Oracle MySQL | CVE-2019-8457
CVE-2019-8457は、Oracle MySQLのSQLiteコンポーネントにある境界外読み取りに関する脆弱性で、認証されていない攻撃者によりMySQL Workbenchが侵害され、乗っ取られる恐れがあります。Oracle MySQL 8.0.17以前のバージョンが影響を受けます。
Oracle Enterprise Manager | CVE-2016-4000
CVE-2016-4000は、Oracle Enterprise Managerの脆弱性で、この脆弱性を突くと認証されていない攻撃者は、悪意のあるHTTPリクエストを送信して脆弱なホストを完全に乗っ取ることができます。この脆弱性はOracle Enterprise ManagerのJythonコンポーネントに存在し、攻撃者は細工されたシリアル化されたPyFunctionオブジェクトを使用して任意のコードを実行する可能性があります。
Oracle Construction and Engineering | CVE-2017-6056、CVE-2019-14379、CVE-2019-14379、CVE-2019-3020
CVE-2017-6056は、Instantis Enterprise、残りのCVEはPrimaveraで発見された脆弱性です。これらの脆弱性を突くと、認証されていない攻撃者は脆弱なコンポーネントに悪意のあるHTTPリクエストを送信し、侵害された標的の管理アクションを完全に乗っ取り、任意のコードを実行する可能性があります。影響を受けるPrimavera製品には、Primavera P6、Primavera Gateway、およびPrimavera Unifierが含まれます。
Oracle Middleware | CVE-2016-1000031 & CVE-2019-2904
CVE-2016-1000031は、Apache Commons FileUploadライブラリに存在するリモートコード実行の脆弱性で、以前にOracle CPUで対処されています。今月のリリースでは、Oracle Fusion MiddlewareのVirtual Directory Serverコンポーネントにおける脆弱性が修正されました。この脆弱性は2016年にTenable Researchによって最初に発見され、以降、複数のOracle製品にパッチが適用されています。これは悪用されやすい脆弱性で、攻撃者はHTTPリクエストを使用してOracle Virtual Directoryを侵害できます。
CVE-2019-2904は、Oracle JDeveloperのADF FacesコンポーネントおよびOracle Fusion MiddlewareのADF製品における不特定の脆弱性です。この脆弱性は「簡単に悪用できる」と説明されており、悪用されると認証されていないリモートの攻撃者は、巧妙に細工されたHTTPリクエストを送信することによりOracle JDeveloperとADFを侵害し、乗っ取ることができます。
Oracle PeopleSoft | CVE-2016-0729, CVE-2019-3862
CVE-2016-0729は、Apache Xerces-CのXMLパーサーライブラリにある複数の「緊急」のバッファオーバーフローの脆弱性で、2016年に最初にパッチが適用されています。この脆弱性は、Oracle PeopleSoftのIntegration Brokerに存在します。この脆弱性を突くとリモートの認証されていない攻撃者によりサービス拒否を引き起こされるおそれがあります。
CVE-2019-3862は、libssh2 における境界外読み取りに関する脆弱性で、SSH_MSG_CHANNEL_REQUESTパケットにペイロードがなく、終了ステータスメッセージが不適切に解析されるために発生します。この脆弱性は、2019年3月に修正されています。この脆弱性は、Oracle PeopleSoftのファイル処理機能に存在します。
ソリューション
この CPU でオラクルが提供するすべての関連するパッチを適用することを推薦します。詳細については、2019年アドバイザリをご覧ください。
影響を受けているシステムの特定
この脆弱性を識別するための Tenable のプラグインのリストは、リリースされた時点でこちらに表示されます。
詳細情報
Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。
現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。
今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。
関連記事
How to Discover, Analyze and Respond to Threats Faster with Generative AI
June 17, 2024Generative AI (GenAI) is being hailed as the most transformative innovation since the rise of the internet. For security, GenAI can revolutionize the field if applied correctly, especially when it comes to threat detection and response. It enhances efficiency and productivity by swiftly processing and delivering critical information when it matters most.
These Services Shall Not Pass: Abusing Service Tags to Bypass Azure Firewall Rules (Customer Action Required)
June 3, 2024Azure customers whose firewall rules rely on Azure Service Tags, pay attention: You could be at risk due to a vulnerability detected by Tenable Research. Here’s what you need to know to determine if you’re affected, and if so, what you should do right away to protect your Azure environment from attackers.
Cybersecurity Snapshot: EPA Urges Water Plants To Boost Cybersecurity, as OpenSSF Launches Threat Intel Platform for Open Source Software
May 24, 2024Check out the EPA’s call for water plants to beef up their cyber defenses. Plus, open source developers have a new platform to share threat intelligence. Moreover, business email compromise attacks prompt alert from U.K.’s cyber agency. And CISA tackles DNS encryption best practices. And much more!
Cybersecurity Snapshot: CISA Tells Tech Vendors To Squash Command Injection Bugs, as OpenSSF Calls on Developers To Boost Security Skills
July 12, 2024Check out CISA’s call for weeding out preventable OS command injection vulnerabilities. Plus, the Linux Foundation and OpenSSF spotlight the lack of cybersecurity expertise among SW developers. Meanwhile, GenAI deployments have tech leaders worried about data privacy and data security. And get the latest on FedRAMP, APT40 and AI-powered misinformation!
How Risk-based Vulnerability Management Boosts Your Modern IT Environment's Security Posture
July 11, 2024Vulnerability assessments and vulnerability management sound similar – but they’re not. As a new Enterprise Strategy Group white paper explains, it’s key to understand their differences and to shift from ad-hoc vulnerability assessments to continuous, risk-based vulnerability management (RBVM). Read on to check out highlights from this Tenable-commissioned study and learn how RBVM helps organizations attain a solid security and risk posture in hybrid, complex and multi-cloud environments.
Microsoft’s July 2024 Patch Tuesday Addresses 138 CVEs (CVE-2024-38080, CVE-2024-38112)
July 9, 2024Microsoft addresses 138 CVEs in its July 2024 Patch Tuesday release, with five critical vulnerabilities and three zero-day vulnerabilities, two of which were exploited in the wild.
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning