Oracle Database Server (2023 年 4 月 CPU)

medium Nessus プラグイン ID 174470

Language:

概要

リモートホストは、複数の脆弱性の影響を受けます

説明

リモートホストにインストールされている Oracle データベースサーバーの 19c および 21c バージョンは、2023 年 4 月の CPU アドバイザリに記載されている複数の脆弱性の影響を受けます。

- Oracle Database Server の Java VM コンポーネントの脆弱性。影響を受けるサポート対象のバージョンは、19c および 21c です。悪用が難しい脆弱性ですが、TLS を介したネットワークアクセスでユーザーアカウント権限を持つ、権限の低い攻撃者が、Java VM を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータや Java VM がアクセスできるすべてのデータが権限なしで作成、削除、変更される可能性があるとともに、権限なしで重要なデータにアクセスできるようになったり、Java VM がアクセスできるすべてのデータに完全にアクセスできるようになったりする可能性があります。(CVE-2023-21934)

- Oracle データベースサーバーの Oracle Database Recovery Manager コンポーネントの脆弱性。影響を受けるサポート対象のバージョンは、19c および 21c です。容易に悪用可能な脆弱性により、Local SYSDBA 権限を持つ権限の高い攻撃者が、Oracle Net を介したネットワークアクセスにより、Oracle Database Recovery Manager を侵害する可能性があります。脆弱性があるのは Oracle Database Recovery Manager ですが、攻撃により別の製品にも重大な影響を与える可能性があります (範囲変更)。この脆弱性を利用した攻撃に成功すると、権限なく Oracle Database Recovery Manager をハングさせたり、頻繁に繰り返しクラッシュさせたりする (完全な DOS) 可能性があります。(CVE-2023-21918)

- Oracle データベースサーバーの Oracle Database Workload Manager (Apache Commons FileUpload) コンポーネントにおける脆弱性。サポートされているバージョンで影響を受けるのは 21c です。容易に悪用できる脆弱性により、権限の低い攻撃者が HTTP を介したネットワークアクセスのある認証済みのユーザー権限を持ち、Oracle Database Workload Manager (Apache Commons FileUpload) を侵害します。この脆弱性を利用した攻撃に成功すると、権限なく Oracle Database Workload Manager (Apache Commons FileUpload) をハングさせたり、頻繁に繰り返しクラッシュさせたりする (完全な DOS) 可能性があります。(CVE-2023-24998)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。