偵測

Oracle Solaris 重要修補程式更新:jan2023_SRU11_4_53_132_2

critical Nessus Plugin ID 170171

語系:

概要

遠端 Solaris 系統缺少 CPU jan2023 的安全性修補程式。

說明

此 Solaris 系統缺少可解決重大安全性更新的必要修補程式:

 - Oracle Communications 的 Oracle Communications Session Border Controller 產品中的弱點 (元件:路由 (glibc))。受影響的支援版本是 8.4、9.0 和 9.1 。攻擊此弱點具有一定難度,經由 HTTP 存取網路的未經驗證的攻擊者可藉此入侵 Oracle Communications Session Border Controller。若成功攻擊此弱點,攻擊者未經授權即可造成 Oracle Communications Session Border Controller 懸置或經常重複性當機 (完全 DOS),並且未經授權即可更新、插入或刪除某些 Oracle Communications Session Border Controller 可存取資料,以及未經授權即可讀取部分 Oracle Communications Session Border Controller 可存取資料。CVSS 3.1 Base Score 7.0 (機密性、完整性和可用性影響)。CVSS 向量:
 (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:H)。
 (CVE-2022-23219)

 - Oracle Communications 的 Oracle Communications Cloud Native Core Unified Data Repository 產品中的弱點 (元件:訊號 (glibc))。受影響的支援版本是 22.1.1。攻擊此弱點的難度較小,經由 HTTP 存取網路的未經驗證的攻擊者可藉此入侵 Oracle Communications Cloud Native Core Unified Data Repository。若攻擊成功,攻擊者可接管 Oracle Communications Cloud Native Core Unified Data Repository。CVSS 3.1 Base Score 9.8 (機密性、完整性和可用性影響)。
 CVSS 向量:
 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)。
 (CVE-2022-23218)

 - Oracle Fusion 中介軟體的 Oracle Outside In Technology 產品中的弱點 (元件:
 特定於 DC 的元件 (LibExpat))。受影響的支援版本是 8.5.6。攻擊此弱點的難度較小,經由 HTTP 存取網路的未經驗證的攻擊者可藉此入侵 Oracle Outside In Technology。若成功攻擊此弱點,攻擊者未經授權即可造成 Oracle Outside In Technology 懸置或經常重複性當機 (完全 DOS)。CVSS 3.1 Base Score 7.5 (可用性影響)。CVSS 向量:
 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)。
 (CVE-2022-43680)

 - Oracle 系統的 Oracle Solaris 產品中的弱點 (元件:NSSwitch)。受影響的支援版本是 10 和 11。攻擊此弱點具有一定難度,經由多個通訊協定存取網路的高權限攻擊者可藉此入侵 Oracle Solaris。若要成功攻擊,必須有攻擊者以外之他人進行互動,且雖然此弱點位於 Oracle Solaris 中,但攻擊可能對其他產品造成重大影響 (範圍變更)。成功攻擊此弱點可能導致未經授權的更新、插入或刪除某些可供存取之 Oracle Solaris 資料的存取權,並可能未經授權造成 Oracle Solaris 部分拒絕服務 (部分 DOS)。CVSS 3.1 Base Score 4.0 (完整性和可用性影響)。CVSS 向量:(CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:C/C:N/I:L/A:L)。
 (CVE-2023-21900)

解決方案

從 Oracle 支援網站安裝 jan2023 CPU。

另請參閱

https://support.oracle.com/epmos/faces/DocumentDisplay?id=2920776.1

https://www.oracle.com/docs/tech/security-alerts/cpujan2023cvrf.xml

https://www.oracle.com/security-alerts/cpujan2023.html

Plugin 詳細資訊

嚴重性: Critical

ID: 170171

檔案名稱: solaris_jan2023_SRU11_4_53_132_2.nasl

版本: 1.5

類型: local

已發布: 2023/1/19

已更新: 2023/10/18

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: High

基本分數: 7.5

時間分數: 6.2

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2022-23219

CVSS v3

風險因素: Critical

基本分數: 9.8

時間分數: 9.1

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:F/RL:O/RC:C

弱點資訊

CPE: cpe:/o:oracle:solaris

必要的 KB 項目: Host/local_checks_enabled, Host/Solaris11/release

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2023/1/17

弱點發布日期: 2022/1/14

參考資訊

CVE: CVE-2021-46848, CVE-2022-23218, CVE-2022-23219, CVE-2022-3204, CVE-2022-3276, CVE-2022-37797, CVE-2022-39253, CVE-2022-39260, CVE-2022-3970, CVE-2022-41556, CVE-2022-43680, CVE-2022-44638, CVE-2022-45061, CVE-2022-45063, CVE-2022-46872, CVE-2022-46874, CVE-2022-46875, CVE-2022-46878, CVE-2022-46880, CVE-2022-46881, CVE-2022-46882, CVE-2023-21900

IAVA: 2023-A-0046