Oracle Database Server (2023 年 10 月 CPU)

medium Nessus プラグイン ID 183503

Language:

概要

リモートホストは、複数の脆弱性の影響を受けます

説明

リモートホストにインストールされている Oracle データベースサーバーのバージョンは、2023 年 10 月の CPU アドバイザリに記載されている複数の脆弱性の影響を受けます。

- Oracle Database Server の Oracle Spatial および Graph (cURL) コンポーネントの脆弱性。サポートされているバージョンで影響を受けるのは、19.3-19.20 および 21.3-21.11です。容易に悪用できる脆弱性により、認証ユーザー権限を持つ権限の低い攻撃者が HTTP を介してネットワークにアクセスし、Oracle Spatial および Graph (cURL) を侵害する可能性があります。この脆弱性を利用した攻撃に成功すると、権限がなくても、Oracle Spatial および Graph (cURL) をハングアップさせたり、頻繁に繰り返しクラッシュ (完全な DOS) させたりすることができるようになります。
(CVE-2023-38039)

- Oracle Database Server の OML4Py (cryptography) コンポーネントの脆弱性。サポートされているバージョンで影響を受けるのは、21.3-21.11 です。悪用が難しい脆弱性ですが、認証されていない攻撃者が HTTP を使用してネットワークにアクセスし、OML4Py (cryptography) を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータや OML4Py (cryptography) がアクセスできるすべてのデータが権限なしで作成、削除、変更される可能性があります。(CVE-2022-23491)

- Oracle Database Server の PL/SQL コンポーネントの脆弱性。サポートされているバージョンで影響を受けるのは、19.3-19.20 および 21.3-21.11です。容易に悪用可能な脆弱性により、権限の高い攻撃者が、Oracle Net を介したネットワークアクセスにより、Create Session や Execute on sys.utl_http 権限を取得し、PL/SQL を侵害する可能性があります。
攻撃を成功させるには攻撃者以外の人間の関与が必要です。また、脆弱性が存在するのは PL/SQL ですが、攻撃が他の製品に大きな影響を与える可能性があります。(範囲変更)
この脆弱性を利用した攻撃が成功すると、権限のない更新や一部の PL/SQL アクセス可能データの挿入または削除、PL/SQL アクセス可能データの一部に対する権限のない読み取りアクセス、および PL/SQL の部分的なサービス拒否 (部分的な DOS) を権限なしに引き起こす可能性があります。(CVE-2023-22071)

- 悪用不可能な脆弱性に対する多層セキュリティの更新 CVE-2020-25649、CVE-2020-36518、CVE-2021-34031、CVE-2022-4899、CVE-2022-42003、CVE-2022-42004、CVE-2022-46908、CVE-2023-2976、CVE-2023-35887。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。