Oracle Business Intelligence Publisher 多個弱點 (2021 年 1 月 CPU)

high Nessus Plugin ID 147639

Synopsis

遠端主機受到多個弱點影響。

描述

遠端主機上執行的 Oracle Business Intelligence Publisher 版本或 Oracle Analytics Server 5.5 是 11.1.1.9.210119 之前的 11.1.1.9.x 版、12.2.1.3.201216 之前的 12.2.1.3.x 版、12.2.1.4.201216 之前的 12.2.1.4.x 版或 12.2.5.5.201216 之前的 12.2.5.5.x 版 (OAS 5.5)。因此,該應用程式受到 2021 年 1 月重大修補程式更新公告中提及的多個弱點影響:

- Oracle Fusion Middleware 的 BI Publisher 產品中有一個不明弱點 (元件:BI Publisher Security)。未經驗證的遠端攻擊者可透過 HTTP 利用此弱點,造成未經授權即可存取關鍵資料,或取得所有 Oracle BI Publisher 可存取資料的完整存取權,並且可以未經授權更新、插入或刪除部分 Oracle BI Publisher 可存取資料,以及未經授權即可導致 Oracle BI Publisher 部分拒絕服務 (部分 DOS)。(CVE-2021-2013)

- Oracle Fusion Middleware 的 BI Publisher 產品中有一個不明弱點 (元件:管理)。未經驗證的遠端攻擊者可透過 HTTP 利用此弱點,造成未經授權即可存取關鍵資料,或取得所有 Oracle BI Publisher 可存取資料的完整存取權,並且可以未經授權更新、插入或刪除部分 Oracle BI Publisher 可存取資料,以及未經授權即可導致 Oracle BI Publisher 部分拒絕服務 (部分 DOS)。(CVE-2021-2049)
- Oracle Fusion Middleware 的 BI Publisher 產品中有一個不明弱點 (元件:E-Business Suite - XDO)。未經驗證的遠端攻擊者可透過 HTTP 利用此弱點,造成未經授權即可存取關鍵資料,或取得所有 Oracle BI Publisher 可存取資料的完整存取權,並且可以未經授權更新、插入或刪除部分 Oracle BI Publisher 可存取資料,以及未經授權即可導致 Oracle BI Publisher 部分拒絕服務 (部分 DOS)。(CVE-2021-2050、CVE-2021-2051)
- Oracle Fusion Middleware 的 BI Publisher 產品中有一個不明弱點 (元件:BI Publisher Security)。未經驗證的遠端攻擊者可透過 HTTP 利用此弱點,造成未經授權即可存取關鍵資料,或取得所有 Oracle BI Publisher 可存取資料的完整存取權,並且可以未經授權更新、插入或刪除部分 Oracle BI Publisher 可存取資料,以及未經授權即可導致 Oracle BI Publisher 部分拒絕服務 (部分 DOS)。(CVE-2021-2051)

- Oracle Fusion Middleware 的 BI Publisher 產品中有一個不明弱點 (元件:Web 伺服器)。未經驗證的遠端攻擊者可透過 HTTP 利用此弱點,造成未經授權即可存取關鍵資料,或取得所有 Oracle BI Publisher 可存取資料的完整存取權,並且可以未經授權更新、插入或刪除部分 Oracle BI Publisher 可存取資料。(CVE-2021-2062)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼。

解決方案

按照 2021 年 1 月 Oracle 重要修補程式更新公告,套用適當的修補程式。

另請參閱

https://www.oracle.com/security-alerts/cpujan2021.html

Plugin 詳細資訊

嚴重性: High

ID: 147639

檔案名稱: oracle_bi_publisher_jan_2021_cpu.nasl

版本: 1.5

類型: local

代理程式: windows, macosx, unix

系列: Misc.

已發布: 2021/3/10

已更新: 2022/12/5

組態: 啟用徹底檢查

支持的傳感器: Nessus Agent

風險資訊

VPR

風險因素: Medium

分數: 5.1

CVSS v2

風險因素: Medium

基本分數: 6.5

時間分數: 4.8

媒介: AV:N/AC:L/Au:S/C:P/I:P/A:P

時間媒介: E:U/RL:OF/RC:C

CVSS 評分資料來源: CVE-2021-2051

CVSS v3

風險因素: High

基本分數: 7.6

時間分數: 6.6

媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N

時間媒介: E:U/RL:O/RC:C

CVSS 評分資料來源: CVE-2021-2062

弱點資訊

CPE: cpe:/a:oracle:fusion_middleware, cpe:/a:oracle:business_intelligence_publisher

必要的 KB 項目: installed_sw/Oracle Business Intelligence Publisher

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2021/1/20

弱點發布日期: 2021/1/20

參考資訊

CVE: CVE-2021-2013, CVE-2021-2049, CVE-2021-2050, CVE-2021-2051, CVE-2021-2062

CEA-ID: CEA-2021-0004