Oracle Solaris 关键修补程序更新:jan2023_SRU11_4_53_132_2

critical Nessus 插件 ID 170171

简介

远程 Solaris 系统缺少 CPU jan2023 的安全修补程序。

描述

此 Solaris 系统缺少解决关键安全更新的必要修补程序:

- Oracle Communications 的 Oracle Communications Session Border Controller 产品中存在漏洞(组件:路由 (glibc))。支持的版本中受影响的是 8.4、9.0 和 9.1。此漏洞较难攻击,允许未经身份验证的攻击者通过 HTTPS 进行网络访问,从而入侵 Oracle Communications Session Border Controller。若成功攻击此漏洞,攻击者未经授权即可造成 Oracle Communications Session Border Controller 挂起或者频繁崩溃(完整 DOS),在未经授权的情况下更新、插入或删除 Oracle Communications Session Border Controller 可访问的某些数据,以及未经授权读取 Oracle Communications Session Border Controller 可访问数据的子集。CVSS 3.1 基本分数 7.0(机密性、完整性和可用性影响)。CVSS 向量:
(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:H)。
(CVE-2022-23219)

- Oracle Communications 的 Oracle Communications Cloud Native Core Unified Data Repository 产品中存在漏洞(组件:信令 (glibc))。支持的版本中受影响的是 22.1.1。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问,从而破坏 Oracle Communications Cloud Native Core Unified Data Repository。成功利用此漏洞进行攻击可导致接管 Oracle Communications Cloud Native Core Unified Data Repository。CVSS 3.1 基本分数 9.8(机密性、完整性和可用性影响)。
CVSS 向量:
(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)。
(CVE-2022-23218)

- Oracle Fusion Middleware 的 Oracle Outside In Technology 产品中存在漏洞(组件:
DC 特定组件 (LibExpat))。支持的版本中受影响的是 8.5.6。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问,从而破坏 Oracle Outside In Technology。成功利用此漏洞进行攻击可导致在未经授权的情况下造成 Oracle Outside In Technology 挂起或频繁出现崩溃(完整 DOS)。CVSS 3.1 基本分数 7.5(可用性影响)。CVSS 向量:
(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)。
(CVE-2022-43680)

- Oracle Systems 的 Oracle Solaris 产品中存在漏洞(组件:NSSwitch)。支持的版本中受影响的是 10 和 11。难以利用的漏洞允许高权限攻击者通过多种协议进行网络访问,从而破坏 Oracle Solaris。若要成功发动攻击,必须与攻击者以外的其他人进行人工交互;虽然该漏洞存在于 Oracle StorageTek ACSLS 中,但攻击可能对其他产品造成重大影响(范围更改)。成功攻击此漏洞可导致在未经授权的情况下更新、插入或删除某些 Oracle Solaris 可访问数据的访问权限,并且可造成 Oracle Solaris 部分拒绝服务(部分 DOS)。CVSS 3.1 基本分数 4.0(完整性和可用性影响)。CVSS 向量:(CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:C/C:N/I:L/A:L)。
(CVE-2023-21900)

解决方案

从 Oracle 支持网站安装 jan2023 CPU。

另见

https://support.oracle.com/epmos/faces/DocumentDisplay?id=2920776.1

https://www.oracle.com/docs/tech/security-alerts/cpujan2023cvrf.xml

https://www.oracle.com/security-alerts/cpujan2023.html

插件详情

严重性: Critical

ID: 170171

文件名: solaris_jan2023_SRU11_4_53_132_2.nasl

版本: 1.5

类型: local

发布时间: 2023/1/19

最近更新时间: 2023/10/18

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 6.2

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2022-23219

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 9.1

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:F/RL:O/RC:C

漏洞信息

CPE: cpe:/o:oracle:solaris

必需的 KB 项: Host/local_checks_enabled, Host/Solaris11/release

可利用: true

易利用性: Exploits are available

补丁发布日期: 2023/1/17

漏洞发布日期: 2022/1/14

参考资料信息

CVE: CVE-2021-46848, CVE-2022-23218, CVE-2022-23219, CVE-2022-3204, CVE-2022-3276, CVE-2022-37797, CVE-2022-39253, CVE-2022-39260, CVE-2022-3970, CVE-2022-41556, CVE-2022-43680, CVE-2022-44638, CVE-2022-45061, CVE-2022-45063, CVE-2022-46872, CVE-2022-46874, CVE-2022-46875, CVE-2022-46878, CVE-2022-46880, CVE-2022-46881, CVE-2022-46882, CVE-2023-21900

IAVA: 2023-A-0046