检测

Oracle Business Intelligence Publisher 多个漏洞(2019 年 10 月 CPU)

high Nessus 插件 ID 130589

语言:

简介

远程主机受到多个漏洞影响。

描述

远程主机上运行的 Oracle Business Intelligence Publisher 版本为低于 11.1.1.9.191015 的 11.1.1.9.x 或 低于12.2.1.3.191015 的 12.2.1.3.x 或低于 12.2.1.4.191015 的 12.2.1.4.x。因此,如 2019 年 10 月关键修补程序更新公告所述,会受到多个漏洞的影响:- Oracle BI Publisher 的安装组件中有一个不明漏洞,具备网络访问权限的未经身份验证攻击者可通过 HTTP 来危害 Oracle BI Publisher。虽然漏洞位于 Oracle BI Publisher 中,但攻击可能对其他产品造成重大影响。此漏洞的成功攻击能导致关键数据的未授权访问或所有 Oracle BI Publisher 可访问数据的完全访问。(CVE-2019-2905) - Oracle BI Publisher 的 MobileService 组件中有一个不明漏洞,允许具有网络访问权限的未经验证攻击者通过 HTTP 危害 BI Publisher。除攻击者以外的他人进行交互是实现成功攻击的必要条件,尽管漏洞存在于 BI Publisher 中,但攻击也可能会严重影响其他产品。(CVE-2019-2906) - Oracle BI Publisher 的 BI PublisherSecurity 组件中有一个不明漏洞,允许具有网络访问权限的低特权攻击者通过 HTTP 危害 Oracle BI Publisher。成功攻击此漏洞可造成未授权读取访问 BIPublisher 可访问数据的子集 (CVE-2019-2898) - Oracle BI Publisher 的 Analytics Actions 组件的不明漏洞可允许具有网络访问权限的低权限攻击者通过 HTTP 危害 Oracle BI Publisher。虽然漏洞位于 Oracle BI Publisher 中,但攻击可能对其他产品造成重大影响。成功攻击此漏洞可导致在未经授权的情况下更新、插入或删除某些 Oracle BI Publisher 可访问数据的访问权限,以及对 Oracle BI Publisher 可访问数据子集进行未经授权的读取访问。(CVE-2019-2897) - Oracle BI Publisher 的 Secure Store (OpenSSL) 组件中有一个不明漏洞,允许具有网络访问权限的未经验证攻击者通过 HTTPS 危害 Oracle BI Publisher。此漏洞的成功攻击能导致关键数据的未授权访问或所有 Oracle BI Publisher 数据的完全访问。(CVE-2019-1559) - Oracle BI Publisher 的 BI Platform Security (JQuery) 组件中有一个不明漏洞,允许具有网络访问权限的未经验证攻击者通过 HTTP 危害 Oracle BI Publisher。除攻击者以外的他人进行交互是实现成功攻击的必要条件,尽管漏洞存在于 Oracle BI Publisher 中,但攻击也可能会严重影响其他产品。(CVE-2016-7103) - Oracle BI Publisher 的 Analytics Actions 组件中有一个不明漏洞,允许具有网络访问权限的未经验证攻击者通过 HTTP 危害 Oracle BI Publisher。此漏洞的成功攻击能导致关键数据的未授权访问或所有 Oracle BI Publisher 可访问数据的完全访问。(CVE-2019-2900) - Oracle BI Publisher 的 BI Platform Security 组件中有一个不明漏洞,允许具有网络访问权限的未经验证攻击者通过 HTTP 危害 Oracle BI Publisher。成功攻击此漏洞可导致对 Oracle BI Publisher 可访问数据子集进行未经授权的读取访问。(CVE-2019-3012) 请注意,Nessus 并未测试这些问题,而是只依赖于应用程序自我报告的版本号。

解决方案

根据 2019 年 10 月 Oracle 关键修补程序更新公告应用相应的修补程序。

另见

http://www.nessus.org/u?2c94f8e4

插件详情

严重性: High

ID: 130589

文件名: oracle_bi_publisher_oct_2019_cpu.nasl

版本: 1.9

类型: local

代理: windows, macosx, unix

系列: Misc.

发布时间: 2019/11/6

最近更新时间: 2024/4/15

配置: 启用全面检查

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.1

CVSS v2

风险因素: Medium

基本分数: 5.8

时间分数: 4.5

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N

CVSS 分数来源: CVE-2019-2906

CVSS v3

风险因素: High

基本分数: 8.6

时间分数: 7.7

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

CVSS 分数来源: CVE-2019-2905

漏洞信息

CPE: cpe:/a:oracle:fusion_middleware, cpe:/a:oracle:business_intelligence_publisher

必需的 KB 项: installed_sw/Oracle Business Intelligence Publisher

可利用: true

易利用性: Exploits are available

补丁发布日期: 2019/10/31

漏洞发布日期: 2019/10/15

参考资料信息

CVE: CVE-2015-9251, CVE-2016-7103, CVE-2019-1559, CVE-2019-2897, CVE-2019-2898, CVE-2019-2900, CVE-2019-2905, CVE-2019-2906, CVE-2019-3012

BID: 104823, 105658, 107174

IAVA: 2019-A-0382