Oracle Solaris 关键修补程序更新：jan2023_SRU11_4_53_132_2

critical Nessus 插件 ID 170171

语言：

简介

远程 Solaris 系统缺少 CPU jan2023 的安全修补程序。

描述

此 Solaris 系统缺少解决关键安全更新的必要修补程序：

- Oracle Communications 的 Oracle Communications Session Border Controller 产品中存在漏洞（组件：路由 (glibc)）。支持的版本中受影响的是 8.4、9.0 和 9.1。此漏洞较难攻击，允许未经身份验证的攻击者通过 HTTPS 进行网络访问，从而入侵 Oracle Communications Session Border Controller。若成功攻击此漏洞，攻击者未经授权即可造成 Oracle Communications Session Border Controller 挂起或者频繁崩溃（完整 DOS），在未经授权的情况下更新、插入或删除 Oracle Communications Session Border Controller 可访问的某些数据，以及未经授权读取 Oracle Communications Session Border Controller 可访问数据的子集。CVSS 3.1 基本分数 7.0（机密性、完整性和可用性影响）。CVSS 向量：
(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:H)。
(CVE-2022-23219)

- Oracle Communications 的 Oracle Communications Cloud Native Core Unified Data Repository 产品中存在漏洞（组件：信令 (glibc)）。支持的版本中受影响的是 22.1.1。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Oracle Communications Cloud Native Core Unified Data Repository。成功利用此漏洞进行攻击可导致接管 Oracle Communications Cloud Native Core Unified Data Repository。CVSS 3.1 基本分数 9.8（机密性、完整性和可用性影响）。
CVSS 向量：
(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)。
(CVE-2022-23218)

- Oracle Fusion Middleware 的 Oracle Outside In Technology 产品中存在漏洞（组件：
DC 特定组件 (LibExpat)）。支持的版本中受影响的是 8.5.6。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Oracle Outside In Technology。成功利用此漏洞进行攻击可导致在未经授权的情况下造成 Oracle Outside In Technology 挂起或频繁出现崩溃（完整 DOS）。CVSS 3.1 基本分数 7.5（可用性影响）。CVSS 向量：
(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)。
(CVE-2022-43680)

- Oracle Systems 的 Oracle Solaris 产品中存在漏洞（组件：NSSwitch）。支持的版本中受影响的是 10 和 11。难以利用的漏洞允许高权限攻击者通过多种协议进行网络访问，从而破坏 Oracle Solaris。若要成功发动攻击，必须与攻击者以外的其他人进行人工交互；虽然该漏洞存在于 Oracle StorageTek ACSLS 中，但攻击可能对其他产品造成重大影响（范围更改）。成功攻击此漏洞可导致在未经授权的情况下更新、插入或删除某些 Oracle Solaris 可访问数据的访问权限，并且可造成 Oracle Solaris 部分拒绝服务（部分 DOS）。CVSS 3.1 基本分数 4.0（完整性和可用性影响）。CVSS 向量：(CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:C/C:N/I:L/A:L)。
(CVE-2023-21900)