Oracle Business Intelligence Enterprise Edition (OAS 7.6) (2025 年 10 月 CPU)

high Nessus Plugin ID 271383

語言:

概要

遠端主機受到多個弱點影響

說明

遠端主機上安裝的 Oracle Business Intelligence Enterprise Edition (OAS) 7.6.0.0.0 版本受到 2025 年 10 月 CPU 公告中所提及的多個弱點影響。

- Oracle Analytics 的 Oracle Business Intelligence Enterprise Edition 產品中的弱點 (元件Analytics Web Administration)。受影響的支援版本是 7.6.0.0.0 和 8.2.0.0.0。可輕鬆惡意利用的弱點允許具有網路存取權的高權限攻擊者透過 HTTP 來入侵 Oracle Business Intelligence Enterprise Edition。若要成功攻擊，必須要與除攻擊者以外的其他人進行人爲互動。雖然弱點位於 Oracle Business Intelligence Enterprise Edition 中，但攻擊可能對其他產品造成重大影響 (範圍改變)。
若成功攻擊此弱點，攻擊者可接管 Oracle Business Intelligence Enterprise Edition。(CVE-2025-53049)

- 問題摘要使用 RFC7250 原始公開金鑰 (RPK) 驗證伺服器的用戶端可能不會注意到伺服器未經驗證這是因為設定了 SSL_VERIFY_PEER 驗證模式時交握並未如預期中止。影響摘要用戶端未偵測到伺服器驗證失敗時使用原始公開金鑰的 TLS 和 DTLS 連線可能容易遭受攔截式攻擊。TLS 用戶端和 TLS 伺服器依預設停用 RPK。只有在 TLS 用戶端明確啟用伺服器使用 RPK且伺服器同樣啟用了 RPK 而非 X.509 憑證鏈的傳送時才會發生此問題。受影響的用戶端是指當伺服器的 RPK 無法符合其中一個預期的公開金鑰時透過將驗證模式設定為 SSL_VERIFY_PEER 仰賴交握而失敗的用戶端。啟用伺服器端原始公開金鑰的用戶端仍可透過呼叫 SSL_get_verify_result() 得知原始公開金鑰驗證失敗的情況而啟用伺服器端原始公開金鑰並採取適當行動的用戶端不會受到影響。此問題是在 OpenSSL 的 RPK 支援初始實作中引入的 3.2。 3.4、 3.3、 3.2、 3.1 和 3.0 中的 FIPS 模組不受此問題影響。 (CVE-2024-12797)

- Apache Commons IO 中不受控制的資源消耗弱點。org.apache.commons.io.input.XmlStreamReader 類別在處理惡意特製的輸入時，可能會過度佔用 CPU 資源。此問題會影響 Apache Commons IO：從 2.0 到 2.14.0 之前的版本。建議使用者升級至 2.14.0 或更新版本，即可修正此問題。(CVE-2024-47554)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。