検出

Oracle GoldenGate for Big Data 23.x < 23.9.0.25.07 の複数の脆弱性 (2025 年 7 月 CPU)

critical Nessus プラグイン ID 242270

Language:

概要

リモートホスト上の Oracle GoldenGate for Big Data アプリケーションは、複数の脆弱性の影響を受けます。

説明

自己報告されたバージョン番号によると、リモートホストにある Oracle GoldenGate for Big Data アプリケーションは複数の脆弱性の影響を受けています。

 - Oracle GoldenGate の Oracle GoldenGate Big Data and Application Adapters 製品 (コンポーネント: Java Delivery (Netty)) の脆弱性。サポートされているバージョンで影響を受けるのは、23.4-23.7 です。エクスプロイトが困難な脆弱性ですが、TLS 経由でネットワークにアクセスできる認証されていない攻撃者が Oracle GoldenGate Big Data and Application Adapters を侵害する可能性があります。この脆弱性を悪用した攻撃が成功すると、Oracle GoldenGate Big Data and Application Adapters の部分的なサービス拒否 (部分的な DOS) が権限なしに引き起こされる可能性があります。(CVE-2025-24970)

 - Oracle GoldenGate の Oracle GoldenGate Stream Analytics 製品 (コンポーネント: Stream Analytics (Netty)) の脆弱性。エクスプロイトが困難な脆弱性ですが、権限の低い攻撃者が、Oracle GoldenGate Stream Analytics が実行されるハードウェアに接続された物理コミュニケーションセグメントにアクセスし、Oracle GoldenGate Stream Analytics を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、権限なしで Oracle GoldenGate Stream Analytics をハングさせたり、頻繁に繰り返しクラッシュさせたりする (完全な DOS) 可能性があります。(CVE-2025-25193)

 - Oracle GoldenGate の Oracle GoldenGate Big Data and Application Adapters 製品 (コンポーネント: Java Delivery (Apache HttpClient)) の脆弱性。サポートされているバージョンで影響を受けるのは、23.4-23.6 です。エクスプロイトが困難な脆弱性ですが、認証されていない攻撃者が HTTPS 経由でネットワークにアクセスし、Oracle GoldenGate Big Data and Application Adapters を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、重要なデータまたは Oracle GoldenGate Big Data and Application Adapters のアクセス可能なすべてのデータに対する権限なしの作成、削除、または変更が可能となる場合があります。(CVE-2025-27820)

 - Oracle GoldenGate の Oracle GoldenGate Big Data and Application Adapters 製品 (コンポーネント: Oracle GoldenGate Big Data and Application Adapters (Apache Parquet Java)) における多層セキュリティの問題。この脆弱性は、この製品のコンテキストでは悪用できません。(CVE-2025-30065)

 - Apache Parquet 1.15.0 の parquet-avro モジュールおよび以前のバージョンにおけるスキーマ解析により、悪意のある人物が任意のコードを実行することが可能です。1.15.1 において信頼できないパッケージを制限するための修正が導入されましたが、信頼できるパッケージのデフォルト設定では、依然としてこれらのパッケージから悪意のあるクラスが実行される可能性があります。このエクスプロイトは、parquet-avro のクライアントコードが Parquet ファイルの読み取りを意図的に「特定」または「反映」モデルを使用している場合にのみ適用されます (「汎用」モデルは影響を受けません)。(CVE-2025-46762)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

バージョン 23.9.0.25.07 以降の Oracle GoldenGate for Big Data にアップグレードしてください。

参考資料

https://www.oracle.com/security-alerts/cpujul2025.html

プラグインの詳細

深刻度: Critical

ID: 242270

ファイル名: oracle_goldengate_for_big_data_cpu_jul_2025_v23.nasl

バージョン: 1.1

タイプ: local

エージェント: windows, macosx, unix

ファミリー: Misc.

公開日: 2025/7/17

更新日: 2025/7/17

設定: 徹底したチェックを有効にする (optional)

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 8.4

CVSS v2

リスクファクター: Critical

基本値: 10

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2025-46762

CVSS v3

リスクファクター: Critical

基本値: 9.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

脆弱性情報

CPE: cpe:/a:oracle:goldengate_application_adapters

必要な KB アイテム: installed_sw/Oracle GoldenGate for Big Data

パッチ公開日: 2025/7/15

脆弱性公開日: 2025/7/15

参照情報

CVE: CVE-2025-24970, CVE-2025-25193, CVE-2025-27820, CVE-2025-30065, CVE-2025-46762

IAVA: 2025-A-0522