Oracle Database Server（2025 年 4 月 CPU）

high Nessus Plugin ID 234618

語言:

概要

遠端主機受到多個弱點影響

說明

遠端主機上安裝的 Oracle Database Server 版本受到 2025 年 4 月 CPU 公告中提及的多個弱點影響。

- Oracle Database Server 的 Oracle Database Grid (Apache Tomcat) 元件中的深度防護安全性問題。無法在此產品的內容中惡意利用此弱點。(CVE-2025-24813)

- Oracle Database Server 的 Oracle Database (OpenSSL) 元件中的弱點。受影響的支援版本是 23.4-23.7。利用此弱點的難度較低，攻擊者可藉此透過實體存取來入侵 Oracle Database (OpenSSL)。若成功攻擊此弱點，攻擊者可在未經授權的情況下更新、插入或刪除 Oracle Database (OpenSSL) 的部分可存取資料，也可以在未經授權的情況下讀取 Oracle Database (OpenSSL) 可存取資料的子集，以及在未經授權的情況下造成 Oracle Database (OpenSSL) 部分拒絕服務 (部分 DOS)。CVSS 3.1 Base Score 4.3 (機密性、完整性和可用性影響)。(CVE-2024-9143)

- Oracle Database Server 的 Oracle Database SQLCl (EdDSA) 元件中的弱點。受影響的支援版本是 23.4-23.7。此弱點可輕易攻擊成功，未經驗證的攻擊者可藉此登入 Oracle Database SQLCl (EdDSA) 執行所在的基礎架構以入侵 Oracle Database SQLCl (EdDSA)。雖然此弱點位於 Oracle Database SQLCl (EdDSA) 中，但攻擊可能對其他產品造成重大影響 (範圍變更)。若成功攻擊此弱點，攻擊者未經授權即可更新、插入或刪除部分 Oracle Database SQLCl (EdDSA) 可存取資料。(CVE-2020-36843)

- Oracle Database Server 的 Oracle Database (OpenSSL) 元件中的弱點。受影響的支援版本是 23.4-23.7。利用此弱點的難度較低，攻擊者可藉此透過實體存取來入侵 Oracle Database (OpenSSL)。若成功攻擊此弱點，攻擊者可在未經授權的情況下更新、插入或刪除 Oracle Database (OpenSSL) 的部分可存取資料，也可以在未經授權的情況下讀取 Oracle Database (OpenSSL) 可存取資料的子集，以及在未經授權的情況下造成 Oracle Database (OpenSSL) 部分拒絕服務 (部分 DOS)。(CVE-2022-3786)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。