Oracle Fusion ミドルウェアセキュリティサービスの情報漏洩(2015 年 1 月 CPU)(BEAST)
low Nessus プラグイン ID 81003
Language:
概要
リモート Web サーバーは、情報漏洩脆弱性の影響を受けます。説明
リモートホストにインストールされているバージョンの Oracle HTTP Server は、暗号ブロックチェーン(CBC)モードで動作している時の初期化ベクトル(IV)を選択する方法での欠陥による、BEAST として知られている SSL 3.0 および TLS 1.0 プロトコルの情報漏洩脆の脆弱性による影響を受けます。中間者攻撃者がこれを悪用して、 HTML5 WebSocket API、Java URLConnection API、または Silverlight WebClient API を使用する JavaScript コードと連携して、HTTPS セッションでブロック選択境界攻撃(BCBA)を使用することにより平文 HTTP ヘッダーデータを取得できます。ソリューション
January 2015 Oracle Critical Patch Update アドバイザリに従い、適切なパッチを適用してください。参考資料
http://www.nessus.org/u?75c6cafb
https://www.imperialviolet.org/2011/09/23/chromeandbeast.html
プラグインの詳細
深刻度: Low
ID: 81003
ファイル名: oracle_http_server_cpu_jan_2015_ldap.nasl
バージョン: 1.14
タイプ: local
ファミリー: Web Servers
公開日: 2015/1/27
更新日: 2022/12/5
設定: 徹底したチェックを有効にする
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 2.9
CVSS v2
リスクファクター: Medium
基本値: 4.3
現状値: 3.2
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N
CVSS スコアのソース: CVE-2011-3389
CVSS v3
リスクファクター: Low
基本値: 3.7
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
脆弱性情報
CPE: cpe:/a:oracle:fusion_middleware, cpe:/a:oracle:http_server
必要な KB アイテム: Oracle/OHS/Installed
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2015/1/20
脆弱性公開日: 2015/1/20
参照情報
CVE: CVE-2011-3389
BID: 49778
CERT: 864643