Oracle Access Manager Webgate の情報漏えい(2016 年 7 月 CPU)

medium Nessus プラグイン ID 93121

概要

リモートホストにインストールされている認証管理アプリケーションは、情報漏えいの脆弱性による影響を受けます。

説明

リモートホストにインストールされている Oracle Access Manager は、Web サーバープラグインのサブコンポーネントにある情報漏えいの脆弱性の影響を受けます。これは、バンドルされている OpenSSL ライブラリに存在する複数の欠陥によるものです。具体的に挙げると、crypto/evp/e_aes_cbc_hmac_sha1.c ファイルの aesni_cbc_hmac_sha1_cipher() 関数、および crypto/evp/e_aes_cbc_hmac_sha256.c ファイルの aesni_cbc_hmac_sha256_cipher() 関数で、これは接続が AES-CBC 暗号を使用し、AES-NI がサーバーにサポートされている場合にトリガーされます。中間者攻撃の攻撃者が、これらの欠陥を悪用して、パディングオラクル攻撃を行い、ネットワークトラフィックを解読する機能を取得する可能性があります。

ソリューション

2016年7月のOracle Critical Patch Updateアドバイザリに従って、適切なパッチを適用してください。

参考資料

http://www.nessus.org/u?d87d8f4a

プラグインの詳細

深刻度: Medium

ID: 93121

ファイル名: oracle_access_manager_webgate_cve_2016_2107.nbin

バージョン: 1.388

タイプ: local

エージェント: windows, macosx, unix

ファミリー: Misc.

公開日: 2016/8/26

更新日: 2024/3/27

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.1

CVSS v2

リスクファクター: Low

Base Score: 2.6

Temporal Score: 2

ベクトル: CVSS2#AV:N/AC:H/Au:N/C:P/I:N/A:N

CVSS スコアのソース: CVE-2016-2107

CVSS v3

リスクファクター: Medium

Base Score: 5.9

Temporal Score: 5.3

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:oracle:fusion_middleware

必要な KB アイテム: Oracle/Products/Installed

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2016/7/19

脆弱性公開日: 2016/5/3

参照情報

CVE: CVE-2016-2107

BID: 89760