Oracle E-Business 多个漏洞(2016 年 7 月 CPU)

critical Nessus 插件 ID 92461

简介

远程主机上安装的 Web 应用程序受到多个漏洞影响。

描述

远程主机上安装的 Oracle E-Business 版本缺少 2016 年 7 月的 Oracle 关键修补程序更新 (CPU)。因此,该服务器受到多个漏洞的影响:

- 在 CRM Technical Foundation 组件内的 Wireless Framework 子组件中存在一个不明缺陷,其可允许未经认证的远程攻击者影响机密性和完整性。
(CVE-2016-3491)

- 在 Customer Interaction History 组件内的 Function Security 子组件中存在一个不明缺陷,其可允许未经认证的远程攻击者影响机密性和完整性。
(CVE-2016-3512)

- 在 Application Object Library 组件内的 AOL 诊断测试子组件中存在一个不明缺陷,其可允许经认证的远程攻击者泄露潜在的敏感信息。
(CVE-2016-3520)

- 在 Web Applications Desktop Integrator 组件内的 Application Service 子组件中存在一个不明缺陷,其可允许未经认证的远程攻击者影响机密性和完整性。
(CVE-2016-3522)

- 在 Web Applications Desktop Integrator 组件内的 Application Service 子组件中存在一个不明缺陷,可导致未经身份验证的远程攻击者影响完整性。(CVE-2016-3523)

- 在 Applications Technology Stack 组件内的 Configuration 子组件中存在一个不明缺陷,其可允许未经认证的远程攻击者影响机密性和完整性。
(CVE-2016-3524)

- 在 Applications Manager 组件内的 Cookie Management 子组件中存在一个不明缺陷,其可允许未经认证的远程攻击者泄露潜在的敏感信息。
(CVE-2016-3525)

- 在 Internet Expenses 组件内的 Expenses Admin Utilities 子组件中存在一个不明缺陷,其可允许未经认证的远程攻击者造成拒绝服务情况。
(CVE-2016-3528)

- 在 Advanced Inbound Telephony 组件内的 SDK 客户端整合子组件中存在一个不明缺陷,其可允许未经认证的远程攻击者影响机密性和完整性。
(CVE-2016-3532)

- 在 Knowledge Management 组件内的 Search 子组件中存在一个不明缺陷,其可允许未经认证的远程攻击者影响完整性。
(CVE-2016-3533)

- 在 Installed Base 组件内的 Engineering Change Order 子组件中存在一个不明缺陷,可导致未经身份验证的远程攻击者影响完整性。(CVE-2016-3534)

- 在 CRM Technical Foundation 组件内的 Remote Launch 子组件中存在一个不明缺陷,其可允许未经认证的远程攻击者影响机密性和完整性。
(CVE-2016-3535)

- 在 Marketing 组件内的 Deliverables 子组件中存在一个不明缺陷,可导致未经身份验证的远程攻击者影响机密性和完整性。(CVE-2016-3536)

- 在 Common Applications Calendar 组件内的 Notes 子组件中存在一个不明缺陷,可导致未经身份验证的远程攻击者影响机密性和完整性。(CVE-2016-3541)

- 在 Knowledge Management 组件内的 Search/Browse 子组件中存在一个不明缺陷,可导致经身份验证的远程攻击者影响机密性和完整性。(CVE-2016-3542)

- 在 Common Applications Calendar 组件内的 Tasks 子组件中存在一个不明缺陷,可导致未经身份验证的远程攻击者影响机密性和完整性。(CVE-2016-3543)

- 在 Application Object Library 组件内基于 Web 的帮主屏幕子组件中存在一个不明缺陷,其可允许未经认证的远程攻击者泄露潜在的敏感信息。
(CVE-2016-3545)

- 在 Advanced Collections 组件内的 Report JSPs 子组件中存在一个不明缺陷,可导致未经身份验证的远程攻击者影响机密性和完整性。(CVE-2016-3546)

- 在 One-to-One Fulfillment 组件内的 Content Manager 子组件中存在一个不明缺陷,其可允许未经认证的远程攻击者泄露潜在的敏感信息。
(CVE-2016-3547)

- 在 Marketing 组件内的 Marketing 活动附带子组件中存在一个不明缺陷,其可允许未经认证的远程攻击者泄露潜在的敏感信息。
(CVE-2016-3548)

- 在 E-Business Suite Secure Enterprise Search 组件内的 Search Integration Engine 子组件中存在一个不明缺陷,可导致未经身份验证的远程攻击者泄露潜在的敏感信息。(CVE-2016-3549)

- 在 Email Center 组件内的 Email Center Agent Console 子组件中存在多个不明缺陷,可导致未经身份验证的远程攻击者影响完整性。(CVE-2016-3558、CVE-2016-3559)

解决方案

根据 2016 年 7 月 Oracle 关键修补程序更新公告,应用相应的修补程序。

另见

http://www.nessus.org/u?453b5f8c

插件详情

严重性: Critical

ID: 92461

文件名: oracle_e-business_cpu_jul_2016.nasl

版本: 1.9

类型: remote

系列: Misc.

发布时间: 2016/7/20

最近更新时间: 2022/4/11

配置: 启用全面检查

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 6.0

CVSS v2

风险因素: High

基本分数: 9.4

时间分数: 7.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:N

CVSS 分数来源: CVE-2016-3546

CVSS v3

风险因素: Critical

基本分数: 9.1

时间分数: 8.2

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: cpe:/a:oracle:e-business_suite

必需的 KB 项: Oracle/E-Business/Version, Oracle/E-Business/patches/installed

可利用: true

易利用性: Exploits are available

补丁发布日期: 2016/7/18

漏洞发布日期: 2016/7/18

参考资料信息

CVE: CVE-2016-3491, CVE-2016-3512, CVE-2016-3520, CVE-2016-3522, CVE-2016-3523, CVE-2016-3524, CVE-2016-3525, CVE-2016-3528, CVE-2016-3532, CVE-2016-3533, CVE-2016-3534, CVE-2016-3535, CVE-2016-3536, CVE-2016-3541, CVE-2016-3542, CVE-2016-3543, CVE-2016-3545, CVE-2016-3546, CVE-2016-3547, CVE-2016-3548, CVE-2016-3549, CVE-2016-3558, CVE-2016-3559

BID: 91838, 91839, 91841, 91843, 91845, 91848, 91852, 91857, 91861, 91865, 91870, 91873, 91878, 91882, 91886, 91888, 91893, 91896, 91899, 91903, 91907, 91909, 91911