検出

Oracle Secure Global Desktopの複数の脆弱性(2018年7月CPU)

critical Nessus プラグイン ID 111333

Language:

概要

リモートホストにインストールされているアプリケーションは、複数の脆弱性による影響を受けます。

説明

リモートホストにインストールされているOracle Secure Global Desktopのバージョンは5.3/5.4で、2018年7月のCritical Patch Update(CPU)からのセキュリティパッチがありません。したがって、次の複数の脆弱性の影響を受けます:-curlのバージョンcurl 7.54.1からcurl 7.59.0まで、ヒープベースのバッファオーバーフローの脆弱性がFTP接続に含まれており、機能を停止させてDoS状態やRCE状態を引き起こす可能性があります。この脆弱性は、curlの7.54.1より前のバージョンと7.60.0以降のバージョンでは修正されていると見られます。(CVE-2018-1000300)-Apache Tomcat 9.0.0.M1から9.0.4、8.5.0から8.5.27、8.0.0.RC1から8.0.49、7.0.0から7.0.84で、Servletのアノテーションにより定義されるセキュリティ制約は、Servletが読み込まれた後にのみ適用されていました。Servletが読み込まれた順番によっては、一部のセキュリティ制約が適用されない可能性がありました。これにより、権限のないユーザーにリソースを漏えいさせた可能性があります。(CVE-2018-1305)-再帰的な定義を持つASN.1タイプは、過剰な再帰を用いた悪意のある入力を受けてスタックを超過する可能性があります。これにより、サービス拒否攻撃が引き起こされる可能性があります。OpenSSL 1.1.0hで修正されました(1.1.0-1.1.0gに影響を与える)。OpenSSL 1.0.2oで修正されました(1.0.2b-1.0.2nに影響を与える)。(CVE-2018-0739)

ソリューション

2018年7月のOracle Critical Patch Updateアドバイザリに従って、適切なパッチを適用してください。

参考資料

http://www.nessus.org/u?d4c9a415

プラグインの詳細

深刻度: Critical

ID: 111333

ファイル名: oracle_secure_global_desktop_jul_2018_cpu.nasl

バージョン: 1.6

タイプ: local

エージェント: windows, macosx, unix

ファミリー: Misc.

公開日: 2018/7/25

更新日: 2021/10/25

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2018-1000300

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:oracle:virtualization_secure_global_desktop

必要な KB アイテム: Host/Oracle_Secure_Global_Desktop/Version

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2018/7/17

脆弱性公開日: 2018/5/24

参照情報

CVE: CVE-2017-3738, CVE-2018-0733, CVE-2018-0739, CVE-2018-1000120, CVE-2018-1000121, CVE-2018-1000122, CVE-2018-1000300, CVE-2018-1000301, CVE-2018-1304, CVE-2018-1305

BID: 102118, 103144, 103170, 103414, 103415, 103436, 103517, 103518, 104207, 104225