Oracle Enterprise Manager Cloud Controlの複数の脆弱性(2018年4月のCPU)

medium Nessus プラグイン ID 109204

概要

リモートホストにインストールされているエンタープライズ管理アプリケーションは、複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされているOracle Enterprise Manager Cloud Controlのバージョンにセキュリティパッチがありません。したがって、複数の脆弱性の影響を受けます。- 1.0.2mより前のOpenSSLおよび1.1.0gより前の1.1.0のx86_64 Montgomery squaring関数には、桁上げ伝播バグがあります。ECアルゴリズムは影響を受けません。分析によれば、この欠陥の結果を使用してRSAとDSAに対する攻撃を実行するのは非常に難しく、その可能性は低いと考えられます。DHに対する攻撃は、秘密鍵に関する情報の推測に必要な作業のほとんどがオフラインで実行される可能性があるため、(実行は非常に困難ではあるものの)可能であると考えられます。そのような攻撃に必要なリソースの量は非常に多く、実行できる攻撃者の数は限られていると考えられます。永続的なDHパラメーターと複数のクライアントで共有される秘密鍵があるシナリオでは、攻撃者は標的の秘密鍵を使用して、パッチが適用されていないシステムへオンラインでアクセスする必要があります。この問題は、Intel Broadwell(第5世代)以降やAMD RyzenのようなBMI1、BMI2、ADX拡張機能をサポートするプロセッサーにのみ影響します。(CVE-2017-3736)- X.509証明書のIPAddressFamily拡張機能の解析ルーチンに欠陥があるため、1バイトのオーバーリードが可能です。攻撃者がこの問題を悪用して、証明書の誤ったテキストを表示する可能性があります。このバグは2006年以降存在し、1.0.2mおよび1.1.0gより前のOpenSSLのすべてのバージョンに存在します。(CVE-2017-3735)

ソリューション

April 2018 Oracle Critical Patch Updateアドバイザリに従い、適切なパッチを適用してください。

参考資料

http://www.nessus.org/u?4f26b72d

プラグインの詳細

深刻度: Medium

ID: 109204

ファイル名: oracle_enterprise_manager_apr_2018_cpu.nasl

バージョン: 1.7

タイプ: local

エージェント: windows, macosx, unix

ファミリー: Misc.

公開日: 2018/4/20

更新日: 2022/4/11

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

Base Score: 5

Temporal Score: 3.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

CVSS v3

リスクファクター: Medium

Base Score: 5.3

Temporal Score: 4.6

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:oracle:enterprise_manager

必要な KB アイテム: installed_sw/Oracle Enterprise Manager Cloud Control

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2018/4/17

脆弱性公開日: 2017/8/29

参照情報

CVE: CVE-2017-3735, CVE-2017-3736

BID: 100515, 101666