Oracle Database Server (2023 年 10 月 CPU)

medium Nessus Plugin ID 183503

語系：

概要

遠端主機受到多個弱點影響

說明

遠端主機上安裝的 Oracle Database Server 版本受到 2023 年 10 月 CPU 公告中提及的多個弱點影響。

- Oracle Database Server 的 Oracle Spatial and Graph (cURL) 元件中存在的弱點。受影響的支援版本是 19.3-19.20 和 21.3-21.11。攻擊此弱點的難度較小，擁有「經驗證的使用者」權限並且經由 HTTP 存取網路的低權限攻擊者可以藉此入侵 Oracle Spatial and Graph (cURL)。若成功攻擊此弱點，可能未經授權即能夠導致 Oracle Spatial and Graph (cURL) 懸置或經常重複性當機 (完全 DOS)。
(CVE-2023-38039)

- Oracle Database Server 的 OML4Py (cryptography) 元件中存在弱點。受影響的支援版本是 21.3-21.11。攻擊此弱點的難度較大，經由 HTTP 存取網路的未經驗證的攻擊者可藉此入侵 OML4Py (cryptography)。成功攻擊此弱點可導致未經授權地建立、刪除或修改重要資料或所有可供存取之 OML4Py (cryptography) 資料的存取權。(CVE-2022-23491)

- Oracle Database Server 的 PL/SQL 元件中存在弱點。受影響的支援版本是 19.3-19.20 和 21.3-21.11。這是較容易被利用的弱點，允許擁有「建立工作階段」和「執行 sys.utl_http」權限且可透過 Oracle Net 存取網路的高權限攻擊者入侵 PL/SQL。
若要成功攻擊，必須有攻擊者以外之他人進行互動，且雖然此弱點位於 PL/SQL 中，但攻擊可能對其他產品造成重大影響 (範圍變更)。
成功攻擊此弱點可能導致未經授權地更新、插入或刪除某些可供存取之 PL/SQL 伺服器資料的存取權，未授權讀取可供存取之 PL/SQL 伺服器資料子集的存取權，以及造成 PL/SQL 伺服器部分拒絕服務 (部分 DOS)。(CVE-2023-22071)

- 針對不可惡意利用弱點的深度安全性更新 CVE-2020-25649、CVE-2020-36518、CVE-2021-34031、CVE-2022-4899、CVE-2022-42003、CVE-2022-42004、CVE-2022-46908、CVE-2023-2976 和 CVE-2023-35887。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。