Oracle E-Business 多个漏洞(2017 年 4 月 CPU)

medium Nessus 插件 ID 99479

简介

远程主机上安装的 Web 应用程序受到多个漏洞影响。

描述

远程主机上安装的 Oracle E-Business 版本缺少 2017 年 4 月的 Oracle 关键修补程序更新 (CPU)。因此,该应用程序受到以下漏洞的影响:

- 在 Oracle Marketing 组件内的 User Interface 子组件中存在一个不明缺陷,可导致未经身份验证的远程攻击者影响机密性和完整性。此漏洞仅影响 12.1.1 至 12.1.3 之间的版本,以及 12.2.3 至 12.2.6 之间的版本。(CVE-2017-3337)

- 在 Oracle Advanced Outbound Telephony 组件内的 Interaction History 子组件中存在一个不明缺陷,可导致未经身份验证的远程攻击者影响机密性和完整性。
请注意,此漏洞仅影响 12.2.3 至 12.2.6 版。(CVE-2017-3393)

- 在 Oracle One-to-One Fulfillment 组件内的 Audience Workbench 子组件中存在一个不明缺陷,可导致未经身份验证的远程攻击者影响机密性和完整性。请注意,此漏洞仅影响 12.1.1 至 12.1.3 版。(CVE-2017-3432)

- Oracle User Management 组件内的 User Name/Password Management 子组件存在多个不明缺陷,可导致未经身份验证的远程攻击者影响机密性、完整性和可用性。此漏洞仅影响 12.1.3 版本,以及 12.2.3 至 12.2.6 之间的版本。(CVE-2017-3515)

- 在 Oracle Applications Framework 组件内的 Popup windows lists 子组件中存在一个不明缺陷,可导致未经身份验证的远程攻击者影响机密性和完整性。此漏洞仅影响 12.1.3 版本,以及 12.2.3 至 12.2.6 之间的版本。(CVE-2017-3528)

- Oracle Scripting 组件内的 Scripting Administration 子组件中存在不明缺陷,可导致未经身份验证的远程攻击者影响机密性和完整性。此漏洞仅影响 12.1.1 至 12.1.3 之间的版本,以及 12.2.3 至 12.2.6 之间的版本。
(CVE-2017-3549)

- Oracle Customer Interaction History 组件内的 Admin Console 子组件中存在多个不明缺陷,可导致未经身份验证的远程攻击者影响机密性、完整性和可用性。请注意,此漏洞仅影响 12.1.1 至 12.1.3 版。(CVE-2017-3550)

- Oracle iReceivables 组件内的 Self Registration 子组件中存在不明缺陷,可导致未经身份验证的远程攻击者造成拒绝服务的情况。此漏洞仅影响 12.1.1 至 12.1.3 之间的版本,以及 12.2.3 至 12.2.6 之间的版本。(CVE-2017-3555)

- 在 Oracle Application Object Library 组件内的 File Management 子组件中存在不明缺陷,可导致未经身份验证的远程攻击者泄露潜在的敏感信息。
此漏洞仅影响 12.1.3 版本,以及 12.2.3 至 12.2.6 之间的版本。(CVE-2017-3556)

- 在 Oracle One-to-One Fulfillment 组件内的 Print Server 子组件中存在一个不明缺陷,可导致未经身份验证的远程攻击者影响机密性和完整性。此漏洞仅影响 12.1.3 版本,以及 12.2.3 至 12.2.6 之间的版本。(CVE-2017-3557)

- 在 Oracle Payables 组件内的 Self Service Manager 子组件中存在一个不明缺陷,可导致经身份验证的远程攻击者影响机密性和完整性。此漏洞仅影响 12.1.1 至 12.1.3 之间的版本,以及 12.2.3 至 12.2.6 之间的版本。(CVE-2017-3592)

解决方案

根据 2017 年 4 月 Oracle 关键修补程序更新公告,应用合适的修补程序。

另见

http://www.nessus.org/u?620f75f9

插件详情

严重性: Medium

ID: 99479

文件名: oracle_e-business_cpu_apr_2017.nasl

版本: 1.9

类型: remote

系列: Misc.

发布时间: 2017/4/19

最近更新时间: 2022/4/11

配置: 启用全面检查

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 6.0

CVSS v2

风险因素: High

基本分数: 8.5

时间分数: 6.7

矢量: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:N

CVSS 分数来源: CVE-2017-3592

CVSS v3

风险因素: Medium

基本分数: 6.5

时间分数: 5.9

矢量: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: cpe:/a:oracle:e-business_suite

必需的 KB 项: Oracle/E-Business/Version, Oracle/E-Business/patches/installed

可利用: true

易利用性: Exploits are available

补丁发布日期: 2017/4/18

漏洞发布日期: 2017/4/18

参考资料信息

CVE: CVE-2017-3337, CVE-2017-3393, CVE-2017-3432, CVE-2017-3515, CVE-2017-3528, CVE-2017-3549, CVE-2017-3550, CVE-2017-3555, CVE-2017-3556, CVE-2017-3557, CVE-2017-3592

BID: 97748, 97757, 97761, 97764, 97767, 97770, 97773, 97777, 97780, 97783, 97785