オラクル、2020年1月のクリティカルパッチアップデートで 255件の脆弱性を修正

オラクルは、2020年1月のクリティカルパッチアップデートで Oracle WebLogic Server における「緊急」の脆弱性を含む334件の脆弱性に対処するセキュリティパッチをリリースしました。

背景

1月14日、オラクルは、四半期ごとの定例アップデートであるクリティカルパッチアップデート（CPU）を2020年1月にリリースしました。この更新プログラムには、複数のオラクル製品にわたる255 件の脆弱性に対処する334の修正が含まれています。以下は、今月のリリースで対処された脆弱性を持つ製品ファミリの完全なリストです。

• Oracle Database Server
• Oracle Communications Applications
• Oracle Construction and Engineering
• Oracle E-Business Suite
• Oracle Enterprise Manager
• Oracle Financial Services Applications
• Oracle Food and Beverage Applications
• Oracle Fusion Middleware
• Oracle GraalVM
• Oracle Health Sciences Applications
• Oracle Hospitality Applications
• Oracle Hyperion
• Oracle iLearning
• Oracle Java SE
• Oracle JD Edwards
• Oracle MySQL
• Oracle PeopleSoft
• Oracle Retail Applications
• Oracle Siebel CRM
• Oracle Systems
• Oracle Supply Chain
• Oracle Utilities Applications
• Oracle Virtualization

分析

この四半期の CPU には、25件の一意の CVE における43件の「緊急」の脆弱性が含まれ、そのうちの41件は、認証されていない攻撃者によりリモートから悪用される可能性があります。最も広くパッチが適用されている製品ファミリには、Oracle Enterprise Manager（50パッチ）、Oracle Fusion Middleware（38パッチ）、Oracle Communications Applications（25パッチ）、Oracle E-Business Suite（23パッチ）および Oracle MySQL（19パッチ）が含まれます。ここでは、深刻度が「緊急」に分類された CVE のいくつかを詳細に説明します。

Oracle E-Business Suite | CVE-2020-2586、CVE-2020-2587

CVE-2020-2586 と CVE-2020-2587 は、オラクルの2020年1月の CPU で深刻度が最も高く評価された CVE であり、オラクルにより CVSSv3 基本スコア9.9が割り当てられています。Oracle Human Resources の Hierarchy Diagrammers コンポーネントにあるこれらの不特定の脆弱性は、「簡単に悪用可能」であるとオラクルにより指摘されています。これらの脆弱性を悪用すると、HTTPS および低レベルのネットワークアクセス権を持つ攻撃者は Oracle Human Resources を侵害し、攻撃に成功すると Oracle Human Resources のアクセス可能なデータが不正アクセス、作成、削除、および、変更される恐れがあります。また、攻撃者はこのデータにアクセスし、部分的なサービス拒否（DoS）を引き起こす可能性があります。影響を受ける Oracle Human Resources のバージョンは12.1.1–12.1.3および12.2.3–12.2.9です。

Oracle Fusion Middleware | CVE-2020-2555、CVE-2020-2551、CVE-2020-2546

CVE-2020-2555 は、Oracle Coherence の Caching、CacheStore、Invocation コンポーネントにおける「簡単に悪用可能」な不特定の脆弱性で、認証されていない攻撃者によりオラクルの T3 プロトコルが完全な乗っ取られ、ネットワークアクセスが取得されてしまう恐れがあります。

CVE-2020-2551 および CVE-2020-2546 は、Oracle WebLogic Server の WLS コア・コンポーネント（CVE-2020-2551）および Application Container-JavaEE（CVE-2020-2546）コンポーネントに存在する「簡単に悪用可能」な不特定の脆弱性で、Internet Inter-Orb Protocol（IIOP）を介したネットワークアクセス権を持つ認証されていない攻撃者により、Oracle WebLogic Server が侵害され、乗っ取られる恐れがあります。

Oracle MySQL | CVE-2019-8457

CVE-2019-8457 は、Oracle MySQLのSQLite コンポーネントの境界外読み取りに関する脆弱性であり、認証されていない攻撃者により MySQL Cluster が侵害され、乗っ取られる恐れがあります。影響を受ける Oracle MySQL のバージョンは、7.3.27以前、7.4.25以前、7.5.15以前、7.6.12以前です。

Oracle Retail アプリケーション | CVE-2019-2904、CVE-2016-5019、CVE-2019-12419

CVE-2019-2904 は、Oracle Retail Assortment Planning の Application Core コンポーネント、Oracle Retail Clearance Optimization Engine の Dataset コンポーネント、Oracle Retail Markdown Optimization の Common Component Integration コンポーネント、Oracle Retail Sales Audit の Operational Insights コンポーネントなど一連の Application Development Framework（ADF）コンポーネントに影響する不特定の脆弱性です。HTTP 経由のネットワークアクセス権を持つ認証されていない攻撃者は、この脆弱性を悪用して特殊な細工が施された HTTP リクエストを送信し、ADF を侵害し乗っ取る可能性があります。

CVE-2016-5019 は、Oracle Retail Clearance Optimization Engine の Dataset および General Application コンポーネントでデシリアライゼーション攻撃を実行される脆弱性です。攻撃者は、巧妙に細工されたシリアル化された view state の文字列を介して、デシリアライゼーション攻撃を実行し、DoS や任意のコードを実行したりする可能性があります。

CVE-2019-12419 は、Oracle Retail Order Broker の Order Broker Foundation コンポーネントのトークンアクセスサービスに存在する脆弱性で、リクエストの「clientId」パラメーターの認証済みプリンシパルが検証されないため、認証バイパスが可能になります。攻撃者が被害者の認証コードを取得した場合、攻撃者はその被害者の有効なアクセストークンを取得できます。CPU アドバイザリによると、影響を受けるのは Oracle Retail Order Broker バージョン15のみです。

Oracle System | CVE-2019-9636、CVE-2019-2729、CVE-2019-2725、CVE-2016-1000031

CVE-2019-9636 は、Sun ZFS Storage Application Kit のオペレーティングシステムイメージコンポーネントの NFKC の正規化を行っている際に、Unicode エンコーディング（不正な netloc）の処理に不備があるために発生する脆弱性です。 特殊な細工が施された URL によりcookies、資格情報や認証データが不正にパースされ、情報を異なるホストに送られてしまう可能性があります。2020年1月の CPU アドバイザリによると、Sun ZFS Storage Application Kit のバージョン8.8.6のみが影響を受けます。

CVE-2019-2729 と CVE-2019-2725 は、Tape Library Automated Cartridge System Library Software (ACSLS) の WebLogic Server コンポーネントの不特定の脆弱性で、「簡単に悪用可能」と指摘されています。この脆弱性を悪用するには、HTTP 経由のネットワークアクセスのみが必要とされ、認証されていない攻撃者によりサーバーが侵害され、乗っ取られる恐れがあります。2020年1月の CPU アドバイザリによると、Sun ZFS Storage Application Kit バージョン8.5のみが影響を受けます。

CVE-2016-1000031 は、Tape Library ACSLS のソフトウェアコンポーネントにある Apache Commons FileUpload ライブラリに存在するリモートコード実行の脆弱性です。この脆弱性は簡単に悪用可能で、これまで他のオラクル製品で修正されていますが、HTTP リクエストを介してテープライブラリ ACSLS が侵害される可能性があります。

ソリューション

この CPU でオラクルが提供するすべての関連するパッチを適用することを推薦します。詳細は2020年1月のアドバイザリをご覧ください。

影響を受けているシステムの特定

この脆弱性を識別するための Tenable のプラグインのリストは、リリースされた時点でこちらに表示されます。

詳細情報

• オラクルのクリティカルパッチアップデートアドバイザリ - 2020年1月
• CVE Map に対するオラクルのアドバイザリ
• 2020年1月 CPU リスクマトリックスページ

Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。

現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。

今すぐ Tenable.io Vulnerability Management の 30 日間無料トライアルをお試しいただけます。