検出

Oracle E-Business の複数の脆弱性(2017年4月CPU)

medium Nessus プラグイン ID 99479

Language:

概要

リモートホストにインストールされているWebアプリケーションは、複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされたOracle E-Businessのバージョンに、2017年4月のOracle Critical Patch Update(CPU)がありません。したがって、次の脆弱性の影響を受けます:

 -User InterfaceサブコンポーネントのOracle Marketingに詳細不明な欠陥が存在するため、認証されていないリモートの攻撃者は、機密性および整合性に影響を及ぼすことが可能です。この脆弱性の影響を受けるのは、バージョン12.1.1~12.1.3、および12.2.3~12.2.6のみです。(CVE-2017-3337)

 -Oracle Advanced Outbound TelephonyコンポーネントはInteraction Historyサブコンポーネントに詳細不明な欠陥があり、認証されていないリモートの攻撃者が機密性および整合性に影響を及ぼす可能性があります。
 この脆弱性の影響を受けるのは、バージョン12.2.3~12.2.6のみです。(CVE-2017-3393)

 -Oracle One-to-One FulfillmentコンポーネントはAudience Workbenchサブコンポーネントに詳細不明な欠陥があり、認証されていないリモートの攻撃者が機密性および整合性に影響を及ぼす可能性があります。この脆弱性の影響を受けるのは、バージョン12.1.1~12.1.3のみです。(CVE-2017-3432)

 -Oracle User ManagementコンポーネントはUser Name/Password Managementサブコンポーネントに詳細不明な欠陥があり、認証されていないリモートの攻撃者が機密性および整合性に影響を及ぼす可能性があります。この脆弱性の影響を受けるのは、バージョン12.1.3、および12.2.3~12.2.6のみです。(CVE-2017-3515)

 -Oracle Applications FrameworkコンポーネントはPopup windows listsサブコンポーネントに詳細不明な欠陥があり、認証されていないリモートの攻撃者が機密性および整合性に影響を及ぼす可能性があります。この脆弱性の影響を受けるのは、バージョン12.1.3、および12.2.3~12.2.6のみです。(CVE-2017-3528)

 -Oracle ScriptingコンポーネントはScripting Administrationサブコンポーネントに詳細不明な欠陥があり、認証されていないリモートの攻撃者が機密性および整合性に影響を及ぼす可能性があります。この脆弱性の影響を受けるのは、バージョン12.1.1~12.1.3、および12.2.3~12.2.6のみです。
 (CVE-2017-3549)

 -Oracle Customer Interaction HistoryコンポーネントはAdmin Consoleサブコンポーネントに詳細不明な欠陥があり、認証されていないリモートの攻撃者が機密性および整合性に影響を及ぼす可能性があります。この脆弱性の影響を受けるのは、バージョン12.1.1~12.1.3のみです。(CVE-2017-3550)

 -Oracle iReceivablesコンポーネントはSelf Registrationサブコンポーネントに詳細不明な欠陥があり、認証されていないリモートの攻撃者がサービス拒否状態を引き起こす可能性があります。この脆弱性の影響を受けるのは、バージョン12.1.1~12.1.3、および12.2.3~12.2.6のみです。(CVE-2017-3555)

 -Oracle Application Object LibraryコンポーネントはFile Managementサブコンポーネントに詳細不明な欠陥があり、認証されていないリモートの攻撃者が秘密情報を漏えいさせる可能性があります。
 この脆弱性の影響を受けるのは、バージョン12.1.3、および12.2.3~12.2.6のみです。(CVE-2017-3556)

 -Oracle One-to-One FulfillmentコンポーネントはPrint Serverサブコンポーネントに詳細不明な欠陥があり、認証されていないリモートの攻撃者が機密性および整合性に影響を及ぼす可能性があります。この脆弱性の影響を受けるのは、バージョン12.1.3、および12.2.3~12.2.6のみです。(CVE-2017-3557)

 -Oracle PayablesコンポーネントはSelf Service Managerサブコンポーネントに詳細不明な欠陥があり、認証されたリモートの攻撃者が機密性および整合性に影響を及ぼす可能性があります。この脆弱性の影響を受けるのは、バージョン12.1.1~12.1.3、および12.2.3~12.2.6のみです。(CVE-2017-3592)

ソリューション

April 2017 Oracle Critical Patch Updateアドバイザリに従い、適切なパッチを適用してください。

参考資料

http://www.nessus.org/u?620f75f9

プラグインの詳細

深刻度: Medium

ID: 99479

ファイル名: oracle_e-business_cpu_apr_2017.nasl

バージョン: 1.9

タイプ: remote

ファミリー: Misc.

公開日: 2017/4/19

更新日: 2022/4/11

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.0

CVSS v2

リスクファクター: High

基本値: 8.5

現状値: 6.7

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:N

CVSS スコアのソース: CVE-2017-3592

CVSS v3

リスクファクター: Medium

基本値: 6.5

現状値: 5.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:oracle:e-business_suite

必要な KB アイテム: Oracle/E-Business/Version, Oracle/E-Business/patches/installed

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2017/4/18

脆弱性公開日: 2017/4/18

参照情報

CVE: CVE-2017-3337, CVE-2017-3393, CVE-2017-3432, CVE-2017-3515, CVE-2017-3528, CVE-2017-3549, CVE-2017-3550, CVE-2017-3555, CVE-2017-3556, CVE-2017-3557, CVE-2017-3592

BID: 97748, 97757, 97761, 97764, 97767, 97770, 97773, 97777, 97780, 97783, 97785