Oracle Database 多個弱點 (2016 年 7 月 CPU) (FREAK)
critical Nessus Plugin ID 92522
語系:
概要
遠端資料庫伺服器受到多個弱點影響。說明
遠端 Oracle 資料庫伺服器缺少「2016 年7月重大修補程式更新 (CPU)」。因此,會受到多個弱點影響:- RDBMS HTTPS Listener 套件中存在一個稱為 FREAK (RSA-EXPORT 金鑰的分解攻擊) 的安全性功能繞過弱點,這是因為支援具有小於或等於 512 位元金鑰的弱式 EXPORT_RSA 加密套件所導致。攔截式攻擊者可降級 SSL/TLS 連線以使用 EXPORT_RSA 加密套件,該套件可在短時間內遭到分解,進而允許攻擊者攔截和解密流量。(CVE-2015-0204)
- Application Express 元件中存在一個不明弱點,允許未經驗證的遠端攻擊者影響機密性和完整性。
(CVE-2016-3448)
- Application Express 元件中存在一個不明弱點,其允許未經驗證的遠端攻擊者造成拒絕服務情形。
(CVE-2016-3467)
- Portable Clusterware 元件中存在一個不明弱點,其允許未經驗證的遠端攻擊者造成拒絕服務情形。
(CVE-2016-3479)
- Database Vault 元件中存在一個不明弱點,其允許本機攻擊者影響機密性和完整性。(CVE-2016-3484)
- DB Sharding 元件中存在一個不明弱點,其允許本機攻擊者影響完整性。(CVE-2016-3488)
- Data Pump Import 元件中存在一個不明弱點,其允許本機攻擊者取得提升的權限。(CVE-2016-3489)
- JDBC 元件中存在一個不明弱點,其允許未經驗證的遠端攻擊者執行任意程式碼。(CVE-2016-3506)
- OJVM 元件中存在一個不明弱點,其允許經驗證的遠端攻擊者執行任意程式碼。(CVE-2016-3609)
解決方案
根據 2016 年 7 月 Oracle 重要修補程式更新公告,套用適當的修補程式。另請參閱
Plugin 詳細資訊
嚴重性: Critical
ID: 92522
檔案名稱: oracle_rdbms_cpu_jul_2016.nasl
版本: 1.14
類型: combined
代理程式: windows, macosx, unix
系列: Databases
已發布: 2016/7/22
已更新: 2022/4/11
組態: 啟用徹底檢查
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.5
CVSS v2
風險因素: High
基本分數: 8.5
時間分數: 6.7
媒介: CVSS2#AV:N/AC:M/Au:S/C:C/I:C/A:C
CVSS v3
風險因素: Critical
基本分數: 9
時間分數: 8.1
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
弱點資訊
CPE: cpe:/a:oracle:database_server
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2016/7/18
弱點發布日期: 2015/1/6
參考資訊
CVE: CVE-2015-0204, CVE-2016-3448, CVE-2016-3467, CVE-2016-3479, CVE-2016-3484, CVE-2016-3488, CVE-2016-3489, CVE-2016-3506, CVE-2016-3609
BID: 71936, 91842, 91867, 91874, 91885, 91890, 91894, 91898, 91905
CERT: 243585