Oracle Business Intelligence Publisherの複数の脆弱性(2021年4月CPU)
critical Nessus プラグイン ID 148980
Language:
概要
リモートホストは、複数の脆弱性の影響を受けます。説明
リモートホストで実行されているOracle Business Intelligence PublisherまたはPublisher or Oracle Analytics Server 5.5のバージョンは、11.1.1.9.210215より前の11.1.1.9.x、12.2.1.3.210405より前の12.2.1.3.x、12.2.1.4.210402より前の12.2.1.4.x、または12.2.5.5.210331より前の12.2.5.5.x(OAS 5.5)です。したがって、2021年4月のCritical Patch Updateアドバイザリに記載されているとおり、以下を含む複数のサービスの脆弱性の影響を受けます。- Oracle BI Enterprise EditionのサブコンポーネントApache SparkのAnalytics Serverコンポーネントに詳細不明の脆弱性があります。認証されていないリモートの攻撃者がこれを悪用し、HTTPを介してOracle BI Enterprise Editionを乗っ取る可能性があります。(CVE-2020-9480)
- Oracle BI Enterprise EditionのサブコンポーネントOpenSSLのBI Platform Securityコンポーネントに、サービス拒否の脆弱性があります。認証されていないリモートの攻撃者がこれを悪用し、HTTPSを介して製品をハングアップさせたり、製品を繰り返しクラッシュさせたりする可能性があります。(CVE-2020-1971)
- Oracle BI Enterprise EditionのサブコンポーネントApache TomcatのBI Platform Securityコンポーネントに詳細不明の脆弱性があります。認証されていないリモートの攻撃者がこれを悪用し、アクセス可能な一部のOracle BIデータへの不正な更新、挿入、削除アクセスに加え、Oracle BIのアクセス可能なデータのサブセットへの不正な読み取りアクセスを引き起こす可能性があります。(CVE-2019-0221)
Nessusはこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
April 2021 Oracle Critical Patch Updateアドバイザリに従い、適切なパッチを適用してください。参考資料
プラグインの詳細
深刻度: Critical
ID: 148980
ファイル名: oracle_bi_publisher_apr_2021_cpu.nasl
バージョン: 1.5
タイプ: local
エージェント: windows, macosx, unix
ファミリー: Misc.
公開日: 2021/4/26
更新日: 2024/1/3
設定: 徹底したチェックを有効にする
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 9.3
現状値: 7.7
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2020-9480
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 9.1
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:oracle:fusion_middleware, cpe:/a:oracle:business_intelligence_publisher
必要な KB アイテム: installed_sw/Oracle Business Intelligence Publisher
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2021/4/20
脆弱性公開日: 2019/5/28
参照情報
CVE: CVE-2019-0221, CVE-2020-11022, CVE-2020-1971, CVE-2020-9480, CVE-2021-2152, CVE-2021-2191
IAVA: 2021-A-0196