Oracle Enterprise Manager Cloud Control （2020 年 10 月 CPU）

medium Nessus 插件 ID 141809

语言：

简介

远程主机受到多个漏洞的影响

描述

远程主机上安装的 Enterprise Manager Base Platform 13.3.0.0、13.3.1.0 和 13.4.0.0 版本受到 2020 年 10 月 CPU 公告中提及的多个漏洞的影响。

- Oracle Enterprise Manager 的 Enterprise Manager for Storage Management 产品中存在漏洞（组件：Privilege Management (OpenSSL)）。支持的版本中受影响的是 13.3.0.0 和 13.4.0.0。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Enterprise Manager for Storage Management。成功利用此漏洞进行攻击可导致在未经授权的情况下造成 Enterprise Manager for Storage Management 挂起或频繁出现崩溃（完全 DOS）。(CVE-2020-1967)

- Oracle Enterprise Manager 的 Enterprise Manager Base Platform 产品中存在漏洞（组件：
Event Management）。支持的版本中受影响的是 13.3.0.0 和 13.4.0.0。可轻松利用的漏洞允许低权限攻击者通过 HTTP 进行网络访问，从而破坏 Enterprise Manager Base Platform。虽然漏洞位于 Enterprise Manager Base Platform 中，但攻击可能对其他产品造成重大影响。成功利用此漏洞进行攻击可导致在未经授权的情况下更新、插入或删除某些 Enterprise Manager Base Platform 可访问数据的访问权限，以及对 Enterprise Manager Base Platform 可访问数据子集进行未经授权的读取访问。(CVE-2019-2897)

- Oracle Enterprise Manager 的 Enterprise Manager Base Platform 产品中存在漏洞（组件：
Connector Framework (Apache CXF)）。支持的版本中受影响的是 13.2.1.0。难以利用的漏洞允许未经身份验证的攻击者访问硬件（Enterprise Manager Base Platform 在该硬件上执行）上附加的物理通信段，从而破坏 Enterprise Manager Base Platform。成功利用此漏洞进行攻击可导致在未经授权的情况下访问重要数据，或完整访问 Enterprise Manager Base Platform 的所有可访问数据。(CVE-2020-1954)

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号来判断。