Oracle NoSQL Databaseの複数の脆弱性（2021年4月CPU）

critical Nessus プラグイン ID 148977

Language:

概要

リモートホストで実行されているデータベースは、複数の脆弱性の影響を受けます。

説明

リモートホストで実行しているOracle NoSQL Database Enterpriseのバージョンは20.3.17より前のものです。したがって、2021年4月のCPUアドバイザリに記載されている複数の脆弱性の影響を受けます。

- Oracle NoSQL Databaseの脆弱性（コンポーネント：Administration（Node.js））。影響を受けるサポート対象のバージョンは、20.3より前です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、Oracle NoSQL Databaseを侵害する可能性があります。
この脆弱性を利用した攻撃に成功すると、権限なくOracle NoSQL Databaseをハングさせたり、頻繁に繰り返しクラッシュさせたりする（完全なDOS）可能性があります。（CVE-2021-22883）

- Oracle NoSQL Databaseの多層セキュリティ問題（コンポーネント：Administration（jackson-databind））。
この脆弱性は、この製品のコンテキストでは悪用できません。（CVE-2019-14379）

- Oracle NoSQL Databaseの脆弱性（コンポーネント：Administration（Google Guava））。影響を受けるサポート対象のバージョンは、20.3より前です。簡単に悪用可能な脆弱性によって、権限の低い攻撃者が、Oracle NoSQL Databaseが実行されているインフラストラクチャにログオンし、Oracle NoSQL Databaseを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Oracle NoSQL Databaseがアクセスできるデータのサブセットを、権限なしで読み取りアクセス可能になります。（CVE-2020-8908）
- Oracle NoSQL Databaseの脆弱性（コンポーネント：Administration（Netty））。影響を受けるサポート対象のバージョンは、20.3より前です。容易に悪用可能な脆弱性があり、認証されていない攻撃者がHTTPを介してネットワークにアクセスし、Oracle NoSQL Databaseを侵害する可能性があります。この脆弱性を利用した攻撃に成功すると、権限なくOracle NoSQL Databaseをハングさせたり、頻繁に繰り返しクラッシュさせたりする（完全なDOS）可能性があります。（CVE-2020-11612）

Nessusはこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。