Oracleデータベースサーバーの複数の脆弱性（2021年7月のCPU）

critical Nessus プラグイン ID 152026

Language:

概要

データベースサーバーを実行しているリモートのホストは、複数の脆弱性の影響を受けます

説明

リモートホストにインストールされているOracleデータベースサーバーのバージョンは、2021年7月のCPUアドバイザリに記載されている複数の脆弱性の影響を受けます。

- Oracle Database ServerのAdvanced Networking Optionコンポーネントの脆弱性。影響を受けるサポート対象のバージョンは、12.1.0.2および19cです。悪用が難しい脆弱性ですが、認証されていない攻撃者がOracle Netを使用してネットワークにアクセスし、Advanced Networking Optionを侵害する可能性があります。攻撃を成功させるには攻撃者以外の人間の関与が必要です。また、脆弱性が存在するのはAdvanced Networking Optionですが、攻撃が他の製品に大きな影響を与える可能性があります。この脆弱性への攻撃が成功した場合、Advanced Networking Optionの乗っ取りが発生する可能性があります。（CVE-2021-2351）

- Oracle Database ServerのOracle Textコンポーネントの脆弱性。影響を受けるサポート対象のバージョンは、12.1.0.2および19cです。容易に悪用可能な脆弱性により、権限の高い攻撃者が、Oracle Netを介したネットワークアクセスによりCreate Any Procedure、Alter Any Table権限を取得し、Oracle Textを侵害する可能性があります。
この脆弱性に対する攻撃が成功すると、Oracle Textの乗っ取りが発生する可能性があります。（CVE-2021-2328）

- Oracle Database ServerのOracle XML DBコンポーネントの脆弱性。影響を受けるサポート対象のバージョンは、12.1.0.2および19cです。脆弱性が容易に悪用できるため、権限の高い攻撃者が、Oracle Netを介したネットワークアクセスによりCreate Any Procedure、Create Public Synonym権限を取得し、Oracle XML DBを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Oracle XML DBの乗っ取りが発生する可能性があります。
（CVE-2021-2329）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。