偵測

Oracle Solaris 重要修補程式更新:jul2023_SRU11_4_57_144_3

critical Nessus Plugin ID 178627

語系:

概要

遠端 Solaris 系統缺少 CPU jul2023 中的安全性修補程式。

說明

此 Solaris 系統缺少可解決重大安全性更新的必要修補程式:

 - Oracle 系統之 Oracle Solaris 產品中存在弱點 (元件:裝置驅動程式介面)。受影響的支援版本是 11。此弱點可輕易攻擊成功,低權限攻擊者可藉此登入 Oracle Solaris 執行所在的基礎結構以入侵 Oracle Solaris。成功攻擊此弱點可導致接管 Oracle Solaris。注意:CVE-2023-22023 等同於 CVE-2023-31284。CVSS 3.1 Base Score 7.8 (機密性、完整性和可用性影響)。
 CVSS 向量:
 (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)。
 (CVE-2023-22023)

 - Oracle PeopleSoft 的 PeopleSoft Enterprise PeopleTools 產品中存在的弱點 (元件:安全性 (OpenSSL))。受影響的支援版本是 8.58、8.59 和 8.60 。攻擊此弱點的難度較低,經由 TLS 存取網路的未經驗證的攻擊者可藉此入侵 PeopleSoft Enterprise PeopleTools。
 若攻擊成功,攻擊者可在未經授權的情況下讀取部分 PeopleSoft Enterprise PeopleTools 可存取資料。CVSS 3.1 Base Score 5.3 (機密性影響)。CVSS 向量:
 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)。
 (CVE-2022-2097)

 - Oracle MySQL 的 MySQL Server 產品中存在的弱點 (元件:Server: Connection Handling)。
 受到影響的支援版本是 5.7.39 與更早版本,以及 8.0.30 與更早版本。攻擊此弱點的難度較小,經由多個通訊協定存取網路的高權限攻擊者可藉此入侵 MySQL 伺服器。若成功攻擊此弱點,未經授權即可造成 MySQL 伺服器懸置或經常重複性當機 (完全 DOS)。CVSS 3.1 Base Score 4.9 (可用性影響)。
 CVSS 向量:
 (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)。
 (CVE-2022-21617)

 - Oracle MySQL 的 MySQL Server 產品中存在的弱點 (元件:Server: Optimizer)。受到影響的支援版本是 5.7.39 與更早版本,以及 8.0.30 與更早版本。攻擊此弱點的難度較小,經由多個通訊協定存取網路的高權限攻擊者可藉此入侵 MySQL 伺服器。若成功攻擊此弱點,未經授權即可造成 MySQL 伺服器懸置或經常重複性當機 (完全 DOS)。CVSS 3.1 Base Score 4.9 (可用性影響)。CVSS 向量:
 (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)。
 (CVE-2022-21608)

 - Oracle MySQL 的 MySQL Server 產品中存在的弱點 (元件:Server: Security: Encryption)。
 受到影響的支援版本是 5.7.39 與更早版本,以及 8.0.29 與更早版本。攻擊此弱點的難度較小,經由多個通訊協定存取網路的低權限攻擊者可藉此入侵 MySQL 伺服器。若成功攻擊此弱點,未經授權即可讀取 MySQL 伺服器可存取資料的子集。CVSS 3.1 Base Score 4.3 (機密性影響)。CVSS 向量:
 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)。
 (CVE-2022-21592)

 - Oracle MySQL 的 MySQL Server 產品中存在的弱點 (元件:Server: Security: Privileges)。
 受到影響的支援版本是 5.7.39 與更早版本,以及 8.0.16 與更早版本。攻擊此弱點的難度較小,經由多個通訊協定存取網路的低權限攻擊者可藉此入侵 MySQL 伺服器。若成功攻擊此弱點,未經授權即可讀取 MySQL 伺服器可存取資料的子集。CVSS 3.1 Base Score 4.3 (機密性影響)。CVSS 向量:
 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)。
 (CVE-2022-21589)

 - Oracle MySQL 的 MySQL Server 產品中存在的弱點 (元件:Server: Packaging (cURL))。受到影響的支援版本是 5.7.41 與更早版本,以及 8.0.32 與更早版本。攻擊此弱點的難度較小,經由多個通訊協定存取網路的未經驗證攻擊者可藉此入侵 MySQL Server。
 成功攻擊此弱點可導致未經授權地存取重要資料,或完整存取所有可供存取的 MySQL 伺服器資料。CVSS 3.1 Base Score 7.5 (機密性影響)。CVSS 向量:
 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)。
 (CVE-2022-43551)

 - Oracle Communications 的 Oracle Communications Network Analytics Data Director 產品中的弱點(元件:安裝/升級 (Kerberos))。受影響的支援版本是 23.1.0。攻擊此弱點的難度較低,經由 HTTP 存取網路的低權限攻擊者可藉此入侵 Oracle Communications Network Analytics Data Director。
 若攻擊成功,攻擊者可接管 Oracle Communications Network Analytics Data Director。CVSS 3.1 Base Score 8.8 (機密性、完整性和可用性影響)。CVSS 向量:
 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)。
 (CVE-2022-42898)

 - Oracle Fusion 中介軟體的 Oracle Outside In Technology 產品中的弱點 (元件:第三方 (SQLite))。受影響的支援版本是 8.5.6。攻擊此弱點的難度較低,登入 Oracle Outside In Technology 執行所在基礎架構的低權限攻擊者可利用此弱點入侵 Oracle Outside In Technology。若攻擊成功,攻擊者可在未經授權的情況下建立、刪除或修改關鍵資料或所有 Oracle Outside In Technology 可存取資料,並且在未經授權的情況下存取關鍵資料或完整存取所有 Oracle Outside In Technology 可存取資料,以及在未經授權的情況下造成 Oracle Outside In Technology 部分拒絕服務 (部分 DOS)。CVSS 3.1 Base Score 7.3 (機密性、完整性和可用性影響)。
 CVSS 向量:
 (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L)。
 (CVE-2022-46908)

 - Oracle Communications 的 Oracle Communications Diameter Signaling Router 產品中的弱點 (元件:平台 (Microcode Controller))。受影響的支援版本是 8.6.0.0。攻擊此弱點的難度較低,登入 Oracle Communications Diameter Signaling Router 執行所在基礎架構的低權限攻擊者可利用此弱點入侵 Oracle Communications Diameter Signaling Router。若攻擊成功,攻擊者可在未經授權的情況下存取關鍵資料,或完整存取所有 Oracle Communications Diameter Signaling Router 可存取資料。CVSS 3.1 Base Score 5.5 (機密性影響)。CVSS 向量:
 (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N)。
 (CVE-2022-21123)

 - Oracle PeopleSoft 的 PeopleSoft Enterprise PeopleTools 產品中存在的弱點 (元件:移植 (密碼編譯))。受影響的支援版本是 8.59 和 8.60。攻擊此弱點的難度較低,經由 HTTPS 存取網路的未經驗證的攻擊者可藉此入侵 PeopleSoft Enterprise PeopleTools。
 若攻擊成功,攻擊者可在未經授權的情況下更新、插入或刪除部分 PeopleSoft Enterprise PeopleTools 可存取資料,並且能夠在未經授權的情況下造成 PeopleSoft Enterprise PeopleTools 部分拒絕服務 (部分 DOS)。CVSS 3.1 Base Score 6.5 (完整性和可用性影響)。CVSS 向量:
 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L)。
 (CVE-2023-23931)

 - Oracle PeopleSoft 的 PeopleSoft Enterprise PeopleTools 產品中存在的弱點 (元件:移植 (Python setuptools))。受影響的支援版本是 8.59 和 8.60。攻擊此弱點的難度較低,經由 HTTP 存取網路的未經驗證的攻擊者可藉此入侵 PeopleSoft Enterprise PeopleTools。若攻擊成功,攻擊者可在未經授權的情況下造成 PeopleSoft Enterprise PeopleTools 懸置或經常重複性當機 (完全 DOS)。
 CVSS 3.1 Base Score 5.9 (可用性影響)。CVSS 向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H)。
 (CVE-2022-40897)

解決方案

安裝 Oracle 支援網站上的 jul2023 CPU。

另請參閱

https://support.oracle.com/epmos/faces/DocumentDisplay?id=2960446.1

https://www.oracle.com/docs/tech/security-alerts/cpujul2023cvrf.xml

https://www.oracle.com/security-alerts/cpujul2023.html

Plugin 詳細資訊

嚴重性: Critical

ID: 178627

檔案名稱: solaris_jul2023_SRU11_4_57_144_3.nasl

版本: 1.4

類型: local

已發布: 2023/7/20

已更新: 2023/11/16

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: Medium

基本分數: 6.4

時間分數: 5.3

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:P

CVSS 評分資料來源: CVE-2022-28805

CVSS v3

風險因素: Critical

基本分數: 9.1

時間分數: 8.4

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H

時間媒介: CVSS:3.0/E:F/RL:O/RC:C

弱點資訊

CPE: cpe:/o:oracle:solaris

必要的 KB 項目: Host/local_checks_enabled, Host/Solaris11/release

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2023/7/18

弱點發布日期: 2021/11/15

參考資訊

CVE: CVE-2021-43618, CVE-2022-2097, CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166, CVE-2022-21589, CVE-2022-21592, CVE-2022-21608, CVE-2022-21617, CVE-2022-28805, CVE-2022-33099, CVE-2022-39348, CVE-2022-40897, CVE-2022-42898, CVE-2022-43551, CVE-2022-43552, CVE-2022-44617, CVE-2022-44792, CVE-2022-44793, CVE-2022-46285, CVE-2022-46663, CVE-2022-46908, CVE-2022-47016, CVE-2022-48303, CVE-2022-4883, CVE-2023-0494, CVE-2023-1161, CVE-2023-22023, CVE-2023-23931, CVE-2023-27320, CVE-2023-28486, CVE-2023-28487, CVE-2023-31284

IAVA: 2023-A-0370-S