Oracle Database Server for Unix (2023 年 1 月 CPU)

high Nessus プラグイン ID 170191

概要

リモートホストは、複数の脆弱性の影響を受けます

説明

リモートホストにインストールされている Oracle Database Server のバージョンは、2023 年 1 月の CPU アドバイザリに記載されている複数の脆弱性の影響を受けます。

- Oracle Database Server の Oracle Database - Machine Learning for Python (Python) コンポーネントの脆弱性。サポートされているバージョンで影響を受けるのは 21c です。容易に悪用可能な脆弱性により、権限の低い攻撃者が、Oracle Net を介したネットワークアクセスにより Database User 権限を取得し、Oracle Database - Machine Learning for Python (Python) を侵害する可能性があります。この脆弱性を利用した攻撃に成功すると、権限なく Oracle Database - Machine Learning for Python (Python) をハングさせたり、頻繁に繰り返しクラッシュさせたりする (完全な DOS) 可能性があります。(CVE-2021-3737)

- Oracle Database Server の Oracle RDBMS Security コンポーネントの脆弱性。影響を受けるサポート対象のバージョンは、19c および 21c です。容易に悪用可能な脆弱性により、権限の低い攻撃者が、Oracle Net を介したネットワークアクセスにより Create Session 権限を取得し、Oracle Database RDBMS Security を侵害する可能性があります。この攻撃が成功するには、攻撃者以外の人物の関与が必要です。
この脆弱性に対する攻撃が成功すると、重要なデータや Oracle Database RDBMS Security がアクセスできるすべてのデータが権限なしで作成、削除、変更される可能性があるとともに、Oracle Database RDBMS Security がアクセスできるすべてのデータの一部に権限なしで読み取りアクセスできるようになったりする可能性があります。(CVE-2023-21829)

- Oracle Database Server の Java VM コンポーネントの脆弱性。影響を受けるサポート対象のバージョンは、19c および 21c です。容易に悪用可能な脆弱性により、Oracle Net を介したネットワークアクセス権のある権限が低い攻撃者が、Java VM を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java VM の部分的なサービス拒否 (部分的 DOS) が権限なしで引き起こされる可能性があります。(CVE-2022-39429)

- Oracle Database Server の Oracle Database Data Redaction コンポーネントの脆弱性。影響を受けるサポート対象のバージョンは、19c および 21c です。容易に悪用可能な脆弱性により、権限の低い攻撃者が、Oracle Net を介したネットワークアクセスにより Create Session 権限を取得し、Oracle Database Data Redaction を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Oracle Database Data Redaction がアクセスできるデータのサブセットを、権限なしで読み取りアクセス可能になります。(CVE-2023-21827)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

2023 年 1 月の Oracle Critical Patch Update アドバイザリに従い、適切なパッチを適用してください。

参考資料

https://www.oracle.com/docs/tech/security-alerts/cpujan2023cvrf.xml

https://www.oracle.com/security-alerts/cpujan2023.html

プラグインの詳細

深刻度: High

ID: 170191

ファイル名: oracle_rdbms_cpu_jan_2023.nasl

バージョン: 1.4

タイプ: local

エージェント: windows, macosx, unix

ファミリー: Databases

公開日: 2023/1/20

更新日: 2023/10/24

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

CVSS スコアの根本的理由: Score from cve-2023-21829

VPR

リスクファクター: Critical

スコア: 9.0

CVSS v2

リスクファクター: Medium

Base Score: 5.8

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N

CVSS スコアのソース: manual

CVSS v3

リスクファクター: High

Base Score: 7.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

脆弱性情報

CPE: cpe:/a:oracle:database_server

パッチ公開日: 2023/1/17

脆弱性公開日: 2023/1/17

参照情報

CVE: CVE-2018-25032, CVE-2020-10735, CVE-2020-10878, CVE-2021-29338, CVE-2021-3737, CVE-2021-37750, CVE-2022-1122, CVE-2022-21597, CVE-2022-3171, CVE-2022-39429, CVE-2022-42003, CVE-2022-42004, CVE-2022-42889, CVE-2022-45047, CVE-2023-21827, CVE-2023-21829

IAVA: 2023-A-0035-S, 2023-A-0559