検出

Oracle E-Businessの複数の脆弱性(2019年1月CPU)

critical Nessus プラグイン ID 121250

Language:

概要

リモートホストにインストールされているWebアプリケーションは、複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされているOracle E-Businessのバージョンに、2019年1月Oracle Critical Patch Update(CPU)がありません。したがって、2019年1月のCritical Patch Updateアドバイザリに記載されているとおり、複数の脆弱性の影響を受けます。

 -Oracle CRM Technical Foundation Messagesコンポーネントが、認証されていない攻撃者によって容易に悪用されます。この攻撃が成功するには、攻撃者以外の人物の関与が必要です。攻撃が成功すると、権限なしに更新、挿入、削除アクセスできるようになります。(CVE-2019-2396)

 -Oracle E-Business SuiteのOracle iStore User Registrationコンポーネントは容易に悪用でき、認証されていない攻撃者がOracle iStoreを改ざんする可能性があります。この攻撃が成功するには、攻撃者以外のユーザーによる関与が必要です。成功すると、Oracle iStoreがアクセスできる重要なデータへの認証されていないアクセスが可能になったり、Oracle iStoreがアクセスできるすべてのデータに完全にアクセスできるようになったりするほか、権限のない更新、挿入、削除アクセスが可能になります。(CVE-2019-2400)

 -Oracle E-Business SuiteのOracle Marketing User Interfaceコンポーネントは容易に悪用でき、認証されていない攻撃者がOracle iStoreを改ざんする可能性があります。この攻撃が成功するには、攻撃者以外のユーザーによる関与が必要です。成功すると、Oracle Marketingがアクセスできる重要なデータへの認証されていないアクセスが可能になったり、Oracle Marketingがアクセスできるすべてのデータに完全にアクセスできるようになったりするほか、権限のない更新、挿入、削除アクセスが可能になります。(CVE-2019-2440)

-Oracle E-Business SuiteのOracle Content Manager Cover Letterコンポーネントは容易に悪用でき、認証されていない攻撃者がOracle Content Managerを改ざんする可能性があります。この攻撃が成功するには、攻撃者以外のユーザーによる関与が必要です。成功すると、Oracle Marketingがアクセスできる重要なデータへの認証されていないアクセスが可能になったり、Oracle Content Managerがアクセスできるすべてのデータに完全にアクセスできるようになったりするほか、権限のない更新、挿入、削除アクセスが可能になります。(CVE-2019-2445)

-Oracle E-Business SuiteのOracle Partner Management Partner Detailコンポーネントは容易に悪用でき、認証されていない攻撃者がHTTP経由のネットワークアクセスを使用してOracle Partner Managementを改ざんする可能性があります。この攻撃が成功するには、攻撃者以外のユーザーによる関与が必要です。成功すると、Oracle Marketingがアクセスできる重要なデータへの認証されていないアクセスが可能になったり、Oracle Partner Managementがアクセスできるすべてのデータに完全にアクセスできるようになったりするほか、権限のない更新、挿入、削除が可能になります。(CVE-2019-2447)

 -Oracle E-Business SuiteのOracle Performance Management Planコンポーネントは容易に悪用でき、重要なデータに認証されていない作成、削除、修正アクセスができるようになるほか、Oracle Performance Managementがアクセスできるすべてのデータに完全にアクセスできるようになります。(CVE-2019-2453)

 -Oracle E-Business SuiteのOracle Partner Management Partner Detailコンポーネントは容易に悪用でき、認証されていない攻撃者が重要なデータへの未承認のアクセス権限を取得できるほか、Oracle Partner Managementがアクセスできるデータの一部に対して未承認の更新、挿入、削除アクセスができるようになります。(CVE-2019-2470)

 -Oracle Mobile Field Service Administrationコンポーネントは容易に悪用でき、認証されていない攻撃者がデータの更新、挿入、削除を未承認で実行できるようになります。(CVE-2019-2485)
-Oracle E-Business SuiteのOracle CRM Technical Foundation Session Managementコンポーネントは容易に悪用でき、認証されていない攻撃者がデータの読み取りアクセスを未承認で取得できます。
 (CVE-2019-2488)

 -Oracle E-Business SuiteのOracle One-to-One Fulfillment OCM Queryコンポーネントは容易に悪用でき、認証されていない攻撃者が重要なデータに承認されていない作成、削除、修正アクセスができるようになるほか、すべてのデータに承認なしでアクセスできるようになります。(CVE-2019-2489)

 -Oracle E-Business SuiteのOracle Email Center Message Displayコンポーネントは容易に悪用でき、認証されていない攻撃者がOracle Email Centerがアクセスできる一部のデータに承認されていない更新、挿入、削除アクセスを実行できるようになります。(CVE-2019-2491)

 -Oracle E-Business SuiteのOracle Email Center Message Displayコンポーネントは容易に悪用でき、認証されていない攻撃者がOracle Email Centerがアクセスできる一部のデータに承認されていない更新、挿入、削除アクセスを実行できるようになります。(CVE-2019-2492)

 -Oracle E-Business SuiteのOracle CRM Technical Foundation Messagesコンポーネントは容易に悪用でき、認証されていない攻撃者がOracle CRM Technical Foundationがアクセスできる一部のデータに承認されていない更新、挿入、削除アクセスを実行できるようになります。(CVE-2019-2496)

 -Oracle E-Business SuiteのOracle CRM Technical Foundation Messagesコンポーネントは容易に悪用でき、認証されていない攻撃者がOracle CRM Technical Foundationがアクセスできる一部のデータに承認されていない更新、挿入、削除アクセスを実行できるようになります。(CVE-2019-2497)

 -Oracle E-Business SuiteのOracle Partner Management Partner Dash boardコンポーネントは容易に悪用でき、認証されていない攻撃者がOracle CRM Technical Foundationがアクセスできる一部のデータに承認されていない更新、挿入、削除アクセスを実行できるようになります。(CVE-2019-2498)

 -Oracle E-Business SuiteのOracle Applications Manager SQL Extensionsコンポーネントは容易に悪用でき、認証されていない攻撃者がOracle CRM Technical Foundationがアクセスできる一部のデータに承認されていない更新、挿入、削除アクセスを実行できるようになります。(CVE-2019-2546)

さらに、Oracle E-Businessはその他の複数の脆弱性の影響も受けます。追加情報については、該当するCVEのCVRFの詳細を参照してください。

注意:Nessusはこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号のみに依存しています。

ソリューション

January 2019 Oracle Critical Patch Updateアドバイザリに従い、適切なパッチを適用してください。

参考資料

http://www.nessus.org/u?799b2d05

プラグインの詳細

深刻度: Critical

ID: 121250

ファイル名: oracle_e-business_cpu_jan_2019.nasl

バージョン: 1.6

タイプ: remote

ファミリー: Misc.

公開日: 2019/1/18

更新日: 2022/4/11

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.2

CVSS v2

リスクファクター: Medium

基本値: 6.4

現状値: 4.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

CVSS スコアのソース: CVE-2019-2489

CVSS v3

リスクファクター: Critical

基本値: 9.1

現状値: 7.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:oracle:e-business_suite

必要な KB アイテム: Oracle/E-Business/Version, Oracle/E-Business/patches/installed

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2019/1/16

脆弱性公開日: 2019/1/16

参照情報

CVE: CVE-2019-2396, CVE-2019-2400, CVE-2019-2440, CVE-2019-2445, CVE-2019-2447, CVE-2019-2453, CVE-2019-2470, CVE-2019-2485, CVE-2019-2488, CVE-2019-2489, CVE-2019-2491, CVE-2019-2492, CVE-2019-2496, CVE-2019-2497, CVE-2019-2498, CVE-2019-2546

BID: 106620, 106624