Oracleデータベースサーバーの複数の脆弱性(2020年7月のCPU)

critical Nessus プラグイン ID 138528

概要

リモートホストは、複数の脆弱性の影響を受けます

説明

リモートホストにインストールされているOracleデータベースサーバーのバージョンは、2020年7月のCPUアドバイザリに記載されている複数の脆弱性の影響を受けます。

- OracleデータベースサーバーのMapViewer (Apache Commons FileUpload) コンポーネントにおける脆弱性。
影響を受けるサポート対象のバージョンは、12.2.0.1、18cおよび19cです。容易に悪用できる脆弱性により、権限の低い攻撃者がHTTPを介したネットワークアクセスのある有効なユーザーアカウント権限を持ち、MapViewerを侵害します(Apache Commons FileUpload)。この脆弱性への攻撃が成功した場合、 MapViewer (Apache Commons FileUpload)の乗っ取りが発生する可能性があります。注:MapViewerは、デフォルトのインストールでは展開されていません。MapViewerを使用するには、顧客はOracleAS ServerにMapViewer EARファイルを再展開する必要があります。CVSS 3.1 ベーススコア 8.8(機密性、整合性、可用性の影響)
(CVE-2016-1000031)

- Oracle Database ServerのJava VMコンポーネントの脆弱性。影響を受けるサポート対象のバージョンは、11.2.0.4、12.1.0.2、 12.2.0.1、18cおよび19cです。悪用が難しい脆弱性ですが、権限が低い攻撃者が複数のプロトコルを使用してネットワークにアクセスし、Java VMを侵害する可能性があります。攻撃を成功させるには攻撃者以外の人間の関与が必要です。また、脆弱性が存在するのはJava VMですが、攻撃が他の製品に大きな影響を与える可能性があります。この脆弱性への攻撃が成功した場合、Java VMの乗っ取りが発生する可能性があります。CVSS 3.1 ベーススコア 8.0(機密性、整合性、可用性の影響)。 (CVE-2020-2968)

- Oracle Database Serverの Core RDBMS (zlib)コンポーネントの脆弱性。サポートされているバージョンで影響を受けるのは18cです。容易に悪用可能な脆弱性により、権限の高い攻撃者が、Oracle Netを介したネットワークアクセスによりCreate Session権限を取得し、Core RDBMS (zlib)を侵害する可能性があります。この脆弱性への攻撃が成功した場合、Core RDBMS (zlib)の乗っ取りが発生する可能性があります。CVSS 3.1 ベーススコア 7.2(機密性、整合性、可用性の影響)。 (CVE-2016-9843)

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

July 2020 Oracle Critical Patch Updateアドバイザリに従って、適切なパッチを適用してください。

参考資料

https://www.oracle.com/security-alerts/cpujul2020.html

プラグインの詳細

深刻度: Critical

ID: 138528

ファイル名: oracle_rdbms_cpu_jul_2020.nasl

バージョン: 1.14

タイプ: local

エージェント: windows, macosx, unix

ファミリー: Databases

公開日: 2020/7/16

更新日: 2024/3/1

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

Base Score: 7.5

Temporal Score: 5.9

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2019-13990

CVSS v3

リスクファクター: Critical

Base Score: 9.8

Temporal Score: 8.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS スコアのソース: CVE-2019-16943

脆弱性情報

CPE: cpe:/a:oracle:database_server

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2020/7/14

脆弱性公開日: 2020/7/14

参照情報

CVE: CVE-2016-1000031, CVE-2016-9843, CVE-2018-18314, CVE-2019-10086, CVE-2019-13990, CVE-2019-16943, CVE-2019-17569, CVE-2020-2513, CVE-2020-2968, CVE-2020-2969, CVE-2020-2971, CVE-2020-2972, CVE-2020-2973, CVE-2020-2974, CVE-2020-2975, CVE-2020-2976, CVE-2020-2977, CVE-2020-2978, CVE-2020-8112

BID: 106145, 95131, 93604

IAVA: 2020-A-0328, 2023-A-0559