Tenable ブログ
ブログ通知を受信する
10月のOracle Critical Patch Update、脆弱性を180件修正
オラクルは、10月のCritical Patch Updateで、180件の脆弱性に対処する219のセキュリティパッチをリリースしました。これには、Oracle NoSQL Databaseにおける「緊急」の脆弱性が含まれています。
10月15日、オラクルは四半期毎の脆弱性に対する修正プログラムの一環として、2019年10月Critical Patch Update(CPU)をリリースしました。このアップデートには、複数のオラクル製品における219のパッチが含まれ、180件の脆弱性が修正されています。以下は、今月のリリースで対処された脆弱性を持つ製品ファミリの完全なリストです。
- Oracle Construction and Engineering
- Oracle Database Server
- Oracle E-Business Suite
- Oracle Enterprise Manager
- Oracle Financial Services Applications
- Oracle Food and Beverage Applications
- Oracle Fusion Middleware
- Oracle GraalVM
- Oracle Health Sciences Applications
- Oracle Hospitality Applications
- Oracle Hyperion
- Oracle JD Edwards
- Oracle Java SE
- Oracle MySQL
- Oracle NoSQL Database
- Oracle PeopleSoft
- Oracle Policy Automation
- Oracle Retail Applications
- Oracle Siebel CRM
- Oracle Supply Chain
- Oracle Support Tools
- Oracle Systems
- Oracle Virtualization
分析
この四半期のCPUには、CVSS 9以上の脆弱性も含まれています。 これらの脆弱性が悪用されると、認証されていないユーザーによるアクセスまたは脆弱な資産の完全な乗っ取りが引き起されるおそれがあります。ここでは、CVSS 9以上のCVEの一部について詳しく説明します。
Oracle NoSQL Database | CVE-2018-14721
今月対処された脆弱性の中で最も注目すべきものの1つはOracle NoSQL Databaseの脆弱性CVE-2018-14721で、19.3.12より前のすべてのバージョンに影響を与えます。この脆弱性は、jackson-databind NoSQLコンポーネントに存在します。この脆弱性を悪用すると、HTTP経由のネットワークアクセスを持つ認証されていない攻撃者により、Oracle NoSQL Databaseが乗っ取られるおそれがあります。この脆弱性は、オラクルの2019年1月のCPU、および、他のオラクル製品で以前に対処されています。
Oracle MySQL | CVE-2019-8457
CVE-2019-8457は、Oracle MySQLのSQLiteコンポーネントにある境界外読み取りに関する脆弱性で、認証されていない攻撃者によりMySQL Workbenchが侵害され、乗っ取られる恐れがあります。Oracle MySQL 8.0.17以前のバージョンが影響を受けます。
Oracle Enterprise Manager | CVE-2016-4000
CVE-2016-4000は、Oracle Enterprise Managerの脆弱性で、この脆弱性を突くと認証されていない攻撃者は、悪意のあるHTTPリクエストを送信して脆弱なホストを完全に乗っ取ることができます。この脆弱性はOracle Enterprise ManagerのJythonコンポーネントに存在し、攻撃者は細工されたシリアル化されたPyFunctionオブジェクトを使用して任意のコードを実行する可能性があります。
Oracle Construction and Engineering | CVE-2017-6056、CVE-2019-14379、CVE-2019-14379、CVE-2019-3020
CVE-2017-6056は、Instantis Enterprise、残りのCVEはPrimaveraで発見された脆弱性です。これらの脆弱性を突くと、認証されていない攻撃者は脆弱なコンポーネントに悪意のあるHTTPリクエストを送信し、侵害された標的の管理アクションを完全に乗っ取り、任意のコードを実行する可能性があります。影響を受けるPrimavera製品には、Primavera P6、Primavera Gateway、およびPrimavera Unifierが含まれます。
Oracle Middleware | CVE-2016-1000031 & CVE-2019-2904
CVE-2016-1000031は、Apache Commons FileUploadライブラリに存在するリモートコード実行の脆弱性で、以前にOracle CPUで対処されています。今月のリリースでは、Oracle Fusion MiddlewareのVirtual Directory Serverコンポーネントにおける脆弱性が修正されました。この脆弱性は2016年にTenable Researchによって最初に発見され、以降、複数のOracle製品にパッチが適用されています。これは悪用されやすい脆弱性で、攻撃者はHTTPリクエストを使用してOracle Virtual Directoryを侵害できます。
CVE-2019-2904は、Oracle JDeveloperのADF FacesコンポーネントおよびOracle Fusion MiddlewareのADF製品における不特定の脆弱性です。この脆弱性は「簡単に悪用できる」と説明されており、悪用されると認証されていないリモートの攻撃者は、巧妙に細工されたHTTPリクエストを送信することによりOracle JDeveloperとADFを侵害し、乗っ取ることができます。
Oracle PeopleSoft | CVE-2016-0729, CVE-2019-3862
CVE-2016-0729は、Apache Xerces-CのXMLパーサーライブラリにある複数の「緊急」のバッファオーバーフローの脆弱性で、2016年に最初にパッチが適用されています。この脆弱性は、Oracle PeopleSoftのIntegration Brokerに存在します。この脆弱性を突くとリモートの認証されていない攻撃者によりサービス拒否を引き起こされるおそれがあります。
CVE-2019-3862は、libssh2 における境界外読み取りに関する脆弱性で、SSH_MSG_CHANNEL_REQUESTパケットにペイロードがなく、終了ステータスメッセージが不適切に解析されるために発生します。この脆弱性は、2019年3月に修正されています。この脆弱性は、Oracle PeopleSoftのファイル処理機能に存在します。
ソリューション
この CPU でオラクルが提供するすべての関連するパッチを適用することを推薦します。詳細については、2019年アドバイザリをご覧ください。
影響を受けているシステムの特定
この脆弱性を識別するための Tenable のプラグインのリストは、リリースされた時点でこちらに表示されます。
詳細情報
Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。
現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。
今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。
関連記事
Cybersecurity Snapshot: Guide Unpacks Event-Logging Best Practices, as FAA Proposes Stronger Cyber Rules for Airplanes
August 23, 2024Looking to sharpen your team’s event logging and threat detection? A new guide offers plenty of best practices. Plus, the FAA wants airplanes to be more resilient to cyberattacks. Meanwhile, check out the critical vulnerabilities Tenable discovered in two Microsoft AI products. And get the latest on ransomware trends, vulnerability management practices and election security!
Detecting Risky Third-party Drivers on Windows Assets
August 7, 2024Kernel-mode drivers are critical yet risky components of the Windows operating system. Learn about their functionality, the dangers they pose, and how Tenable's new plugins can help identify and mitigate vulnerabilities using community-driven resources like LOLDrivers.
Never Trust User Inputs -- And AI Isn't an Exception: A Security-First Approach
August 6, 2024As AI transforms industries, security remains critical. Discover the importance of a security-first approach in AI development, the risks of open-source tools, and how Tenable's solutions can help protect your systems.
Securing Financial Data in the Cloud: How Tenable Can Help
November 4, 2024Preventing data loss, complying with regulations, automating workflows and managing access are four key challenges facing financial institutions. Learn how Tenable can help.
Cybersecurity Snapshot: Apply Zero Trust to Critical Infrastructure’s OT/ICS, CSA Advises, as Five Eyes Spotlight Tech Startups’ Security
November 1, 2024Should critical infrastructure orgs boost OT/ICS systems’ security with zero trust? Absolutely, the CSA says. Meanwhile, the Five Eyes countries offer cyber advice to tech startups. Plus, a survey finds “shadow AI” weakening data governance. And get the latest on MFA methods, CISO trends and Uncle Sam’s AI strategy.
FY 2024 State and Local Cybersecurity Grant Program Adds CISA KEV as a Performance Measure
October 31, 2024The CISA Known Exploited Vulnerabilities (KEV) catalog and enhanced logging guidelines are among the new measurement tools added for the 2024 State and Local Cybersecurity Grant Program.
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning