Oracle Business Intelligence Publisher 多個弱點 (2018 年 1 月 CPU)

high Nessus Plugin ID 119885

概要

遠端主機受多個弱點影響。

說明

遠端主機上執行的 Oracle Business Intelligence Publisher 版本是 11.1.1.9.180116 之前的 11.1.1.9.x 版或 12.2.1.2.180116 之前的 12.2.1.2.x 版或 12.2.1.3.180116 之前的 12.2.1.3.x 版。因此,會受到 2018 年 1 月重要修補程式更新公告所述多個弱點影響。遠端主機上安裝的 Oracle Business Intelligence Publisher 受到多個弱點影響:- 不當限制與未使用亂序訊息有關的佇列項目壽命可讓遠端攻擊者在 OpenSSL 1.1.0 之前版本的 DTLS 實作中造成拒絕服務 (CVE-2016-2179)。- 容易惡意利用的弱點可讓具有網路存取權的未經驗證攻擊者透過 HTTP 危害 Oracle Business Intelligence Enterprise Edition。成功攻擊此弱點會導致未經授權存取資料以及未經授權的更新、插入或刪除。此攻擊可能需要他人的互動。(CVE-2017-10068)。- 能夠透過 HTTP 存取網路的低權限攻擊者可惡意利用 Oracle Business Intelligence Enterprise Edition 中的一個弱點。成功攻擊可允許未經授權存取重要資料 (CVE-2018-2715)。請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼。

解決方案

按照 2018 年 1 月 Oracle 重要修補程式更新公告,套用適當的修補程式。

另請參閱

http://www.nessus.org/u?7ee54bd8

Plugin 詳細資訊

嚴重性: High

ID: 119885

檔案名稱: oracle_bi_publisher_jan_2018_cpu.nasl

版本: 1.7

類型: combined

代理程式: windows, macosx, unix

系列: Misc.

已發布: 2018/12/27

已更新: 2022/4/11

組態: 啟用徹底檢查

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.1

CVSS v2

風險因素: Medium

基本分數: 6.4

時間分數: 4.7

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

CVSS 評分資料來源: CVE-2017-10068

CVSS v3

風險因素: High

基本分數: 8.2

時間分數: 7.1

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:oracle:fusion_middleware, cpe:/a:oracle:business_intelligence_publisher

必要的 KB 項目: installed_sw/Oracle Business Intelligence Publisher

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2018/1/16

弱點發布日期: 2018/1/17

參考資訊

CVE: CVE-2016-2179, CVE-2017-10068, CVE-2018-2715

BID: 102535, 102558, 92987