Oracle Database Server（2023 年 10 月 CPU）

medium Nessus 插件 ID 183503

语言：

简介

远程主机受到多个漏洞影响

描述

远程主机上安装的 Oracle Database Server 版本受到 2023 年 10 月 CPU 公告中提及的多个漏洞的影响。

- Oracle Database Server 的 Oracle Spatial 和 Graph (cURL) 组件中存在漏洞。支持的版本中受影响的是 19.3-19.20 和 21.3-21.11。可轻松利用的漏洞允许具有“经身份验证用户”权限的低权限攻击者通过 HTTP 进行网络访问，从而破坏 Oracle Spatial 和 Graph (cURL)。成功利用此漏洞进行攻击可导致在未经授权的情况下造成 Oracle Spatial 和 Graph (cURL) 挂起或频繁出现崩溃（完整 DOS）。
(CVE-2023-38039)

- Oracle Database Server 的 OML4Py (cryptography) 组件中存在漏洞。支持的版本中受影响的是 21.3-21.11。此漏洞较难攻击，其允许未经身份验证的攻击者通过 HTTPS 进行网络访问，从而破坏 OML4Py (cryptography)。成功攻击此漏洞可导致在未经授权的情况下创建、删除或修改关键数据或所有 OML4Py (cryptography) 可访问数据的访问权限。(CVE-2022-23491)

- Oracle Database Server 的 PL/SQL 组件中存在漏洞。支持的版本中受影响的是 19.3-19.20 和 21.3-21.11。对于容易攻击的漏洞，拥有“创建会话”和“执行 sys.utl_http”权限的高权限攻击者可以通过 Oracle Net 进行网络访问，从而破坏 PL/SQL。
若要成功发动攻击，必须与攻击者以外的其他人进行人工交互；虽然该漏洞存在于 PL/SQL 中，但攻击可能对其他产品造成重大影响（范围更改）。
成功攻击此漏洞可导致在未经授权的情况下更新、插入或删除某些 PL/SQL 可访问数据的访问权限，以及对 PL/SQL 可访问数据子集进行未授权的读取访问，并且可未经授权造成 PL/SQL 部分拒绝服务（部分 DOS）。(CVE-2023-22071)

- 针对不可利用漏洞的安全深度更新 CVE-2020-25649、CVE-2020-36518、CVE-2021-34031、CVE-2022-4899、CVE-2022-42003、CVE-2022-42004、CVE-2022-46908、CVE-2023-2976 和 CVE-2023-35887。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。