検出

Oracle E-Business の複数の脆弱性(2016年7月CPU)

critical Nessus プラグイン ID 92461

Language:

概要

リモートホストにインストールされているWebアプリケーションは、複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされた Oracle E-Business のバージョンには、2016年7月のOracle Critical Patch Update(CPU)がありません。したがって、以下の複数の脆弱性による影響を受けます。

 - CRM Technical Foundation コンポーネントの Wireless Framework サブコンポーネントに詳細不明な欠陥が存在するため、認証されていないリモートの攻撃者は、機密性および整合性に影響を及ぼすことが可能です。
 (CVE-2016-3491)

 - Customer Interaction History コンポーネントの Function Security サブコンポーネントに詳細不明な欠陥が存在するため、認証されていないリモートの攻撃者は、機密性および整合性に影響を及ぼすことが可能です。
 (CVE-2016-3512)

 - Application Object Library コンポーネントの AOL diagnostic tests サブコンポーネントに詳細不明な欠陥が存在するため、認証されたリモートの攻撃者は機密情報を漏洩させることが可能です。
 (CVE-2016-3520)

 - Web Applications Desktop Integrator コンポーネントの Application Service サブコンポーネントに詳細不明な欠陥が存在するため、認証されていないリモートの攻撃者は、機密性および整合性に影響を及ぼすことが可能です。
 (CVE-2016-3522)

 - Web Applications Desktop Integrator コンポーネントの Application Service サブコンポーネントに詳細不明な欠陥が存在するため、認証されていないリモートの攻撃者は、整合性に影響を及ぼすことが可能です。(CVE-2016-3523)

 - Applications Technology Stack コンポーネントの Configuration サブコンポーネントに詳細不明な欠陥が存在するため、認証されていないリモートの攻撃者は、機密性および整合性に影響を及ぼすことが可能です。
 (CVE-2016-3524)

 - Applications Manager コンポーネントの Cookie Management サブコンポーネントに詳細不明な欠陥が存在するため、認証されていないリモートの攻撃者は機密情報を漏洩させることが可能です。
 (CVE-2016-3525)

 - Internet Expenses コンポーネントの Expenses Admin Utilities サブコンポーネントに詳細不明な欠陥が存在するため、認証されていないリモートの攻撃者が、サービス拒否状態を引き起こすことが可能です。
 (CVE-2016-3528)

 - Advanced Inbound Telephony コンポーネントの SDK client integration サブコンポーネントに詳細不明な欠陥が存在するため、認証されていないリモートの攻撃者は、機密性および整合性に影響を及ぼすことが可能です。
 (CVE-2016-3532)

 - Knowledge Management コンポーネントの Search サブコンポーネントに詳細不明な欠陥が存在するため、認証されていないリモートの攻撃者は、整合性に影響を及ぼすことが可能です。
 (CVE-2016-3533)

 - Installed Base コンポーネントの Engineering Change Order サブコンポーネントに詳細不明な欠陥が存在するため、認証されていないリモートの攻撃者は、整合性に影響を及ぼすことが可能です。(CVE-2016-3534)

 - CRM Technical Foundation コンポーネントの Remote Launch サブコンポーネントに詳細不明な欠陥が存在するため、認証されていないリモートの攻撃者は、機密性および整合性に影響を及ぼすことが可能です。
 (CVE-2016-3535)

 - Marketing コンポーネントの Deliverables サブコンポーネントに詳細不明な欠陥が存在するため、認証されていないリモートの攻撃者は、機密性および整合性に影響を及ぼすことが可能です。(CVE-2016-3536)

 - Common Applications Calendar コンポーネントの Notes サブコンポーネントに詳細不明な欠陥が存在するため、認証されていないリモートの攻撃者は、機密性および整合性に影響を及ぼすことが可能です。(CVE-2016-3541)

 - Knowledge Management コンポーネントの Search/Browse サブコンポーネントに詳細不明な欠陥が存在するため、認証されたリモートの攻撃者は、機密性および整合性に影響を及ぼすことが可能です。(CVE-2016-3542)

 Common Applications Calendar コンポーネントの Tasks サブコンポーネントに詳細不明な欠陥が存在するため、認証されていないリモートの攻撃者は、機密性および整合性に影響を及ぼすことが可能です。(CVE-2016-3543)

 - Application Object Library コンポーネントの Web based help screens サブコンポーネントに詳細不明な欠陥が存在するため、認証されていないリモートの攻撃者は機密情報を漏洩させることが可能です。
 (CVE-2016-3545)

 - Advanced Collections コンポーネントの Report JSPs サブコンポーネントに詳細不明な欠陥が存在するため、認証されていないリモートの攻撃者は、機密性および整合性に影響を及ぼすことが可能です。(CVE-2016-3546)

 - One-to-One Fulfillment コンポーネントの Content Manager サブコンポーネントに詳細不明な欠陥が存在するため、認証されていないリモートの攻撃者は機密情報を漏洩させることが可能です。
 (CVE-2016-3547)

 - Marketing コンポーネントの Marketing activity collateral サブコンポーネントに詳細不明な欠陥が存在するため、認証されていないリモートの攻撃者は機密情報を漏洩させることが可能です。
 (CVE-2016-3548)

 - E-Business Suite Secure Enterprise Search コンポーネントの Search Integration Engine サブコンポーネントに詳細不明な欠陥が存在するため、認証されていないリモートの攻撃者は機密情報を漏洩させることが可能です。(CVE-2016-3549)

 - Email Center コンポーネントの Email Center Agent Console サブコンポーネントに複数の詳細不明な欠陥が存在するため、認証されていないリモートの攻撃者は、整合性に影響を及ぼすことが可能です。(CVE-2016-3558、CVE-2016-3559)

ソリューション

2016年7月のOracle Critical Patch Updateアドバイザリに従って、適切なパッチを適用してください。

参考資料

http://www.nessus.org/u?453b5f8c

プラグインの詳細

深刻度: Critical

ID: 92461

ファイル名: oracle_e-business_cpu_jul_2016.nasl

バージョン: 1.9

タイプ: remote

ファミリー: Misc.

公開日: 2016/7/20

更新日: 2022/4/11

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.0

CVSS v2

リスクファクター: High

基本値: 9.4

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:N

CVSS スコアのソース: CVE-2016-3546

CVSS v3

リスクファクター: Critical

基本値: 9.1

現状値: 8.2

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:oracle:e-business_suite

必要な KB アイテム: Oracle/E-Business/Version, Oracle/E-Business/patches/installed

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2016/7/18

脆弱性公開日: 2016/7/18

参照情報

CVE: CVE-2016-3491, CVE-2016-3512, CVE-2016-3520, CVE-2016-3522, CVE-2016-3523, CVE-2016-3524, CVE-2016-3525, CVE-2016-3528, CVE-2016-3532, CVE-2016-3533, CVE-2016-3534, CVE-2016-3535, CVE-2016-3536, CVE-2016-3541, CVE-2016-3542, CVE-2016-3543, CVE-2016-3545, CVE-2016-3546, CVE-2016-3547, CVE-2016-3548, CVE-2016-3549, CVE-2016-3558, CVE-2016-3559

BID: 91838, 91839, 91841, 91843, 91845, 91848, 91852, 91857, 91861, 91865, 91870, 91873, 91878, 91882, 91886, 91888, 91893, 91896, 91899, 91903, 91907, 91909, 91911