Oracle Business Intelligence Enterprise EditionOAS 8.22025 年 10 月 CPU

high Nessus プラグイン ID 271382

Language:

概要

リモートホストは、複数の脆弱性の影響を受けます

説明

リモートホストにインストールされているバージョンの Oracle Business Intelligence Enterprise EditionOAS 8.2.0.0.0 は、2025 年 10 月の CPU アドバイザリで言及されているように、複数の脆弱性の影響を受けます。

- Oracle AnalyticsのOracle Business Intelligence Enterprise Edition製品にある脆弱性コンポーネントAnalytics Web Administration。サポートされているバージョンで影響を受けるのは、7.6.0.0.0 および 8.2.0.0.0です。容易に悪用できる脆弱性により、ネットワークアクセス権を持つ権限の高い攻撃者が、HTTP経由でOracle Business Intelligence Enterprise Editionを侵害する可能性があります。攻撃を成功させるには攻撃者以外の人間の関与が必要であり、脆弱性があるのは Oracle Business Intelligence Enterprise Edition ですが、攻撃が他の製品に大きな影響を与える可能性があります (範囲変更)。
この脆弱性に対する攻撃が成功すると、Oracle Business Intelligence Enterprise Edition の乗っ取りが発生する可能性があります。(CVE-2025-53049)

- 問題のサマリー RFC7250 Raw Public KeysRPKを使用してサーバーを認証するクライアントは、サーバーが認証されなかったことに通知されない可能性があります。これは、SSL_VERIFY_PEER 検証モードが設定されている場合にハンドシェイクが正常に中止されないためです。影響のサマリー: 生の公開鍵を使用する TLS および DTLS 接続は、サーバー認証障害がクライアントによって検出されない場合、中間者攻撃に対して脆弱である可能性があります。RPKは、TLSクライアントとTLSサーバーの両方でデフォルトで無効になっています。この問題が発生するのは、TLS クライアントがサーバーによる RPK の使用を明示的に有効にしており、サーバーも同様に、X.509 証明書チェーンの代わりに RPK の送信を有効にしている場合のみです。影響を受けるクライアントは、サーバーのRPKが期待される公開鍵の1つと一致しないとき、検証モードをSSL_VERIFY_PEERに設定することで、ハンドシェイクに依存して失敗するクライアントです。サーバー側の未加工の公開鍵を有効にするクライアントは、 SSL_get_verify_result() の呼び出しによって未加工の公開鍵の検証が失敗したことを確認でき、適切なアクションを実行するクライアントは影響を受けません。この問題は、OpenSSL における RPK サポートの初期実装で導入されました 3.2。 3.4、 3.3、 3.2、 3.1 、 3.0 の FIPS モジュールは、この問題の影響を受けません。CVE-2024-12797

- Apache Commons IO のコントロールされていないリソース消費の脆弱性。org.apache.commons.io.input.XmlStreamReader クラスは、悪意を持って細工された入力を処理する際に、CPU リソースを過剰に消費する可能性があります。この問題は、Apache Commons IO: 2.0 から 2.14.0 に影響します。ユーザーは、この問題を修正したバージョン 2.14.0 以降にアップグレードすることをお勧めします。(CVE-2024-47554)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。