Oracle Enterprise Manager Cloud Control Multiple Vulnerabilities (Apr 2018 CPU)
medium Nessus 插件 ID 109204
语言:
简介
远程主机上安装的企业管理应用程序受到多个漏洞影响。描述
远程主机上安装的 Oracle Enterprise Manager Cloud Control 版本缺少安全修补程序。因而会受到多个漏洞的影响:- 在低于 1.0.2m 和低于 1.1.0g 的 1.1.0 版 OpenSSL 中,x86_64 Montgomery 平方流程中存在进位传播缺陷。No EC 算术受到影响。分析检测结果后发现,针对 RSA 和 DSA 的攻击难以执行,且可能性不高。由于推断私钥信息所需的大部分工作都可离线执行,针对 DH 的攻击则视为可行(尽管很难)。此类攻击所需的资源极大,可能仅限极少数的攻击者访问。在具有持久性 DH 参数且多个客户端共享私钥的情况下,攻击者还需要额外使用目标私钥,在线访问未经修复的系统。此问题仅影响支持 BMI1、BMI2 和 ADX 扩展的处理器,如 Intel Broadwell(第 5 代)及更高版本或 AMD Ryzen。(CVE-2017-3736) - 分析 X.509 证书中的 IPAddressFamily 扩展例程时存在缺陷,可以进行一字节通读。攻击者可利用此问题,显示证书的错误文本。此缺陷自 2006 年起出现,并且存在于低于 1.0.2m 和 1.1.0g 的所有 OpenSSL 版本中。(CVE-2017-3735)解决方案
根据 2018 年 4 月 Oracle 关键修补程序更新公告,应用相应的修补程序。另见
插件详情
严重性: Medium
ID: 109204
文件名: oracle_enterprise_manager_apr_2018_cpu.nasl
版本: 1.7
类型: local
代理: windows, macosx, unix
系列: Misc.
发布时间: 2018/4/20
最近更新时间: 2022/4/11
配置: 启用全面检查
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Low
分数: 3.6
CVSS v2
风险因素: Medium
基本分数: 5
时间分数: 3.7
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N
CVSS v3
风险因素: Medium
基本分数: 5.3
时间分数: 4.6
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/a:oracle:enterprise_manager
必需的 KB 项: installed_sw/Oracle Enterprise Manager Cloud Control
易利用性: No known exploits are available
补丁发布日期: 2018/4/17
漏洞发布日期: 2017/8/29
参考资料信息
CVE: CVE-2017-3735, CVE-2017-3736