検出

Oracle Business Intelligence Publisherの複数の脆弱性(2021年1月のCPU)

high Nessus プラグイン ID 147639

Language:

概要

リモートホストは、複数の脆弱性の影響を受けます。

説明

リモートホストで実行されているOracle Business Intelligence PublisherまたはPublisher or Oracle Analytics Server 5.5のバージョンは、11.1.1.9.210119より前の11.1.1.9.x、12.2.1.3.201216より前の12.2.1.3.x、12.2.1.4.201216より前の12.2.1.4.x、または12.2.5.5.201216より前の12.2.5.5.x(OAS 5.5)です。したがって、2021年1月のCritical Patch Updateアドバイザリに記載されているとおり、複数の脆弱性の影響を受けます。

 - Oracle Fusion MiddlewareのBI Publisher製品に詳細不明な脆弱性が存在します(コンポーネント:BI Publisher Security)。認証されていないリモートの攻撃者がこれを悪用し、HTTPを介して、重要なデータへの不正なアクセス、アクセス可能なすべてのBI Publisherデータへの完全なアクセスに加え、Oracle BI Publisherのアクセス可能な一部のデータおよび認証されていない権限への不正な更新、挿入、削除アクセスによりOracle BI Publisherの部分的なサービス拒否(partial DOS)を引き起こす可能性があります。(CVE-2021-2013)

 - Oracle Fusion MiddlewareのBI Publisher製品に詳細不明な脆弱性が存在します(コンポーネント: 管理)。認証されていないリモートの攻撃者がこれを悪用し、HTTPを介して、重要なデータへの不正なアクセス、アクセス可能なすべてのBI Publisherデータへの完全なアクセスに加え、Oracle BI Publisherのアクセス可能な一部のデータおよび認証されていない権限への不正な更新、挿入、削除アクセスによりOracle BI Publisherの部分的なサービス拒否(partial DOS)を引き起こす可能性があります。(CVE-2021-2049)
- Oracle Fusion MiddlewareのBI Publisher製品に詳細不明な脆弱性が存在します(コンポーネント: E-Business Suite - XDO)。認証されていないリモートの攻撃者がこれを悪用し、HTTPを介して、重要なデータへの不正なアクセス、アクセス可能なすべてのBI Publisherデータへの完全なアクセスに加え、Oracle BI Publisherのアクセス可能な一部のデータおよび認証されていない権限への不正な更新、挿入、削除アクセスによりOracle BI Publisherの部分的なサービス拒否(partial DOS)を引き起こす可能性があります。(CVE-2021-2050、CVE-2021-2051)
- Oracle Fusion MiddlewareのBI Publisher製品に詳細不明な脆弱性が存在します(コンポーネント: BI Publisher Security)。認証されていないリモートの攻撃者がこれを悪用し、HTTPを介して、重要なデータへの不正なアクセス、アクセス可能なすべてのBI Publisherデータへの完全なアクセスに加え、Oracle BI Publisherのアクセス可能な一部のデータおよび認証されていない権限への不正な更新、挿入、削除アクセスによりOracle BI Publisherの部分的なサービス拒否(partial DOS)を引き起こす可能性があります。(CVE-2021-2051)

 - Oracle Fusion MiddlewareのBI Publisher製品に詳細不明な脆弱性が存在します(コンポーネント: Webサーバー )認証されていないリモートの攻撃者がこれを悪用し、HTTPを介して、重要なデータへの不正なアクセス、アクセス可能なすべてのBI Publisherデータへの完全なアクセスに加え、Oracle BI Publisherのアクセス可能な一部のデータへの不正な更新、挿入、削除アクセスを引き起こす可能性があります。(CVE-2021-2062)

Nessusはこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

January 2021 Oracle Critical Patch Updateアドバイザリに従い、適切なパッチを適用してください。

参考資料

https://www.oracle.com/security-alerts/cpujan2021.html

プラグインの詳細

深刻度: High

ID: 147639

ファイル名: oracle_bi_publisher_jan_2021_cpu.nasl

バージョン: 1.5

タイプ: local

エージェント: windows, macosx, unix

ファミリー: Misc.

公開日: 2021/3/10

更新日: 2022/12/5

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.1

CVSS v2

リスクファクター: Medium

基本値: 6.5

現状値: 4.8

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P

CVSS スコアのソース: CVE-2021-2051

CVSS v3

リスクファクター: High

基本値: 7.6

現状値: 6.6

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2021-2062

脆弱性情報

CPE: cpe:/a:oracle:fusion_middleware, cpe:/a:oracle:business_intelligence_publisher

必要な KB アイテム: installed_sw/Oracle Business Intelligence Publisher

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2021/1/20

脆弱性公開日: 2021/1/20

参照情報

CVE: CVE-2021-2013, CVE-2021-2049, CVE-2021-2050, CVE-2021-2051, CVE-2021-2062