検出

Oracle Solaris 重要パッチ更新: jul2023_SRU11_4_57_144_3

critical Nessus プラグイン ID 178627

Language:

概要

リモート Solaris システムには、CPU jul2023 からのセキュリティパッチがありません。

説明

この Solaris システムには、重要なセキュリティ更新に対処するために必要なパッチがありません。

 - Oracle システムの Oracle Solaris 製品にある脆弱性 (コンポーネント: Device Driver Interface)。サポートされているバージョンで影響を受けるのは 11 です。簡単に悪用可能な脆弱性によって、権限の低い攻撃者が、Oracle Solarisが実行されているインフラストラクチャにログオンし、Oracle Solarisを侵害する可能性があります。この脆弱性への攻撃が成功した場合、Oracle Solaris の乗っ取りが発生する可能性があります。注意: CVE-2023-22023 は CVE-2023-31284と同等です。CVSS 3.1ベーススコア 7.8(機密性、整合性、可用性の影響)
 CVSS Vector:
 (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)。
 (CVE-2023-22023)

 - Oracle PeopleSoft の PeopleSoft Enterprise PeopleTools 製品の脆弱性 (component: Security (OpenSSL))。サポートされているバージョンで影響を受けるのは、8.58、8.59、8.60 です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が TLS を介してネットワークにアクセスし、PeopleSoft Enterprise PeopleTools を侵害する可能性があります。
 この脆弱性に対する攻撃が成功すると、PeopleSoft Enterprise PeopleTools がアクセスできるサブセットのデータが、権限なしで読み取りアクセスされる可能性があります。CVSS 3.1ベーススコア5.3 (機密性に影響)。CVSS Vector:
 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)。
 (CVE-2022-2097)

 - Oracle MySQL の MySQL Server 製品における脆弱性 (コンポーネント: サーバー: Connection Handling)。
 影響を受けるサポート対象のバージョンは 5.7.39以前および 8.0.30以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Server を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく MySQL Server をハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全な DOS) があります。CVSS 3.1ベーススコア 4.9(可用性に影響)。
 CVSS Vector:
 (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)。
 (CVE-2022-21617)

 - Oracle MySQL の MySQL Server 製品における脆弱性 (コンポーネント: サーバー: Optimizer)。影響を受けるサポート対象のバージョンは5.7.39以前および8.0.30以前です。容易に悪用可能な脆弱性により、高い権限を持つ攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Server を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく MySQL Server をハングさせたり、頻繁にクラッシュを繰り返させたりする可能性 (完全な DOS) があります。CVSS 3.1ベーススコア 4.9(可用性に影響)。CVSS Vector:
 (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)。
 (CVE-2022-21608)

 - Oracle MySQL の MySQL Server 製品における脆弱性 (コンポーネント: サーバー: Security: 暗号化)。
 影響を受けるサポート対象のバージョンは5.7.39以前および8.0.29以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、MySQL Server がアクセスできるサブセットのデータが、権限なく読み取りアクセスされる可能性があります。CVSS 3.1ベーススコア4.3 (機密性に影響)。CVSS Vector:
 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)。
 (CVE-2022-21592)

 - Oracle MySQL の MySQL Server 製品における脆弱性 (コンポーネント: サーバー: Security: 特権)。
 影響を受けるサポート対象のバージョンは 5.7.39以前および 8.0.16以前です。容易に悪用可能な脆弱性により、権限が低い攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Serverを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、MySQL Server がアクセスできるサブセットのデータが、権限なく読み取りアクセスされる可能性があります。CVSS 3.1ベーススコア4.3 (機密性に影響)。CVSS Vector:
 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)。
 (CVE-2022-21589)

 - Oracle MySQL の MySQL Server 製品における脆弱性 (コンポーネント: サーバー: パッケージング (cURL))。影響を受けるサポート対象のバージョンは 5.7.41以前および 8.0.32以前です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、MySQL Server を侵害する可能性があります。
 この脆弱性に対する攻撃が成功すると、権限なく重要なデータにアクセスしたり、MySQLサーバーがアクセスできるすべてのデータに完全にアクセスしたりする可能性があります。CVSS 3.1ベーススコア7.5 (機密性に影響)。CVSS Vector:
 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)。
 (CVE-2022-43551)

 - Oracle Communications の Oracle Communications Network Analytics Data Director 製品における脆弱性 (コンポーネント: Install/Upgrade (Kerberos))。サポートされているバージョンで影響を受けるのは 23.1.0です。容易に悪用可能な脆弱性があり、権限の弱い攻撃者が HTTP を介してネットワークにアクセスし、Oracle Communications Network Analytics Data Director を侵害する可能性があります。
 この脆弱性に対する攻撃が成功すると、Oracle Communications Network Analytics Data Director の乗っ取りが発生する可能性があります。CVSS 3.1ベーススコア 8.8(機密性、整合性、可用性の影響) CVSS Vector:
 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)。
 (CVE-2022-42898)

 - Oracle Fusion Middleware の Oracle Outside In Technology 製品の脆弱性 (コンポーネント: Third Party (SQLite))。サポートされているバージョンで影響を受けるのは 8.5.6です。簡単に悪用可能な脆弱性によって、権限の低い攻撃者が、Oracle Outside In Technology が実行されているインフラストラクチャにログオンし、Oracle Outside In Technology を侵害する可能性があります。この脆弱性を利用した攻撃が成功すると、重要なデータや Oracle Outside In Technology がアクセスできるすべてのデータを権限なしで作成、削除、変更される可能性があることに加えて、権限なしに Oracle Outside In Technology がアクセスできるすべてのデータにアクセスを完了し、権限なしに Oracle Outside In Technology で部分的サービス拒否 (部分的な DOS) を引き起こす可能性があります。CVSS 3.1ベーススコア 7.3(機密性、整合性、可用性の影響)
 CVSS Vector:
 (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L)。
 (CVE-2022-46908)

 - Oracle Communications アプリケーションの Oracle Communications Diameter Signaling Router 製品における脆弱性 (コンポーネント: Platform (Microcode Controller))。サポートされているバージョンで影響を受けるのは 8.6.0.0です。簡単に悪用可能な脆弱性によって、権限が低い攻撃者が、Oracle Communications Diameter Signaling Router が実行されているインフラストラクチャにログオンし、Oracle Communications Diameter Signaling Router を危険にさらすことが可能です。この脆弱性による攻撃が成功すると、権限なしで重要なデータにアクセスできるようになるか、Oracle Communications Diameter Signaling Router がアクセスできるすべてのデータに完全にアクセスできるようになります。CVSS 3.1ベーススコア5.5 (機密性に影響)。CVSS Vector:
 (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N)。
 (CVE-2022-21123)

 - Oracle PeopleSoft の PeopleSoft Enterprise PeopleTools 製品の脆弱性 (component: Porting (Cryptography))。サポートされているバージョンで影響を受けるのは、8.59 および 8.60です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が HTTPS を介してネットワークにアクセスし、PeopleSoft Enterprise PeopleTools を侵害する可能性があります。
 この脆弱性への攻撃に成功した場合、権限なしの更新、一部の PeopleSoft Enterprise PeopleTools からアクセス可能なデータの挿入または削除アクセス、および PeopleSoft Enterprise PeopleTools の部分的なサービス拒否 (部分的な DOS) を権限なしに引き起こす可能性があります。CVSS 3.1ベーススコア 6.5(整合性と可用性に影響) CVSS Vector:
 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L)。
 (CVE-2023-23931)

 - Oracle PeopleSoft の PeopleSoft Enterprise PeopleTools 製品の脆弱性 (component: Porting (Python setuptools))。サポートされているバージョンで影響を受けるのは、8.59 および 8.60です。悪用が困難な脆弱性がですが、認証されていない攻撃者が HTTP を介してネットワークにアクセスし、PeopleSoft Enterprise PeopleTools を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なく PeopleSoft Enterprise PeopleTools をハングさせたり、頻繁にクラッシュ (完全な DOS) を繰り返し発生させることが可能になる場合があります。
 CVSS 3.1ベーススコア5.9 (可用性に影響)。CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H)。
 (CVE-2022-40897)

ソリューション

Oracle サポート Web サイトから jul2023 CPU をインストールしてください。

参考資料

https://support.oracle.com/epmos/faces/DocumentDisplay?id=2960446.1

https://www.oracle.com/docs/tech/security-alerts/cpujul2023cvrf.xml

https://www.oracle.com/security-alerts/cpujul2023.html

プラグインの詳細

深刻度: Critical

ID: 178627

ファイル名: solaris_jul2023_SRU11_4_57_144_3.nasl

バージョン: 1.4

タイプ: local

公開日: 2023/7/20

更新日: 2023/11/16

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Medium

基本値: 6.4

現状値: 5.3

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:P

CVSS スコアのソース: CVE-2022-28805

CVSS v3

リスクファクター: Critical

基本値: 9.1

現状値: 8.4

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H

現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:oracle:solaris

必要な KB アイテム: Host/local_checks_enabled, Host/Solaris11/release

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2023/7/18

脆弱性公開日: 2021/11/15

参照情報

CVE: CVE-2021-43618, CVE-2022-2097, CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166, CVE-2022-21589, CVE-2022-21592, CVE-2022-21608, CVE-2022-21617, CVE-2022-28805, CVE-2022-33099, CVE-2022-39348, CVE-2022-40897, CVE-2022-42898, CVE-2022-43551, CVE-2022-43552, CVE-2022-44617, CVE-2022-44792, CVE-2022-44793, CVE-2022-46285, CVE-2022-46663, CVE-2022-46908, CVE-2022-47016, CVE-2022-48303, CVE-2022-4883, CVE-2023-0494, CVE-2023-1161, CVE-2023-22023, CVE-2023-23931, CVE-2023-27320, CVE-2023-28486, CVE-2023-28487, CVE-2023-31284

IAVA: 2023-A-0370-S