Oracle Solaris 关键修补程序更新:jul2023_SRU11_4_57_144_3
critical Nessus 插件 ID 178627
语言:
简介
远程 Solaris 系统缺少 CPU jul2023 中的安全补丁。描述
此 Solaris 系统缺少解决关键安全更新的必要修补程序:- Oracle Systems 的 Oracle Solaris 产品中存在漏洞(组件:设备驱动程序接口)。支持的版本中受影响的是 11。可轻松利用的漏洞允许低权限攻击者登录 Oracle Solaris 执行的基础结构,从而破坏 Oracle Solaris。成功利用此漏洞进行攻击可导致接管 Oracle Solaris。注意:CVE-2023-22023 等同于 CVE-2023-31284。CVSS 3.1 基本分数 7.8 (机密性、完整性和可用性影响)。
CVSS 向量:
(CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)。
(CVE-2023-22023)
- Oracle PeopleSoft 的 PeopleSoft Enterprise PeopleTools 产品中的漏洞(组件:安全性 (OpenSSL))。支持的版本中受影响的是 8.58、8.59 和 8.60。攻击此漏洞的难度较小,通过 TLS 访问网络的未经身份验证的攻击者可利用此漏洞入侵 PeopleSoft Enterprise PeopleTools。
如果攻击成功,攻击者可在未经授权的情况下读取部分 PeopleSoft Enterprise PeopleTools 可访问数据。CVSS 3.1 基本分数 5.3(机密性影响)。CVSS 向量:
(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)。
(CVE-2022-2097)
- Oracle MySQL 的 MySQL Server 产品中存在漏洞(组件:Server: 连接处理)。
支持的版本中受影响的是 5.7.39 和较早版本以及 8.0.30 和较早版本。利用此漏洞的难度较低,通过多种协议进行网络访问的高权限攻击者可借此破坏 MySQL Server。若成功攻击此漏洞,可在未经授权的情况下造成 MySQL Server 挂起或频繁出现崩溃(完整 DOS)。CVSS 3.1 基本分数 4.9(可用性影响)。
CVSS 向量:
(CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)。
(CVE-2022-21617)
- Oracle MySQL 的 MySQL Server 产品中存在漏洞(组件:Server: Optimizer)。支持的版本中受影响的是 5.7.39 和较早版本以及 8.0.30 和较早版本。利用此漏洞的难度较低,通过多种协议进行网络访问的高权限攻击者可借此破坏 MySQL Server。若成功攻击此漏洞,可在未经授权的情况下造成 MySQL Server 挂起或频繁出现崩溃(完整 DOS)。CVSS 3.1 基本分数 4.9(可用性影响)。CVSS 向量:
(CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)。
(CVE-2022-21608)
- Oracle MySQL 的 MySQL Server 产品中存在漏洞(组件:Server: Security: Encryption)。
支持的版本中受影响的是 5.7.39 和较早版本以及 8.0.29 和较早版本。可轻松利用的漏洞允许低权限攻击者通过多种协议进行网络访问,从而破坏 MySQL Server。成功攻击此漏洞可导致对 MySQL Server 可访问数据子集进行未经授权的读取访问。CVSS 3.1 基本分数 4.3(机密性影响)。CVSS 向量:
(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)。
(CVE-2022-21592)
- Oracle MySQL 的 MySQL Server 产品中存在漏洞(组件:Server: Security: Privileges)。
支持的版本中受影响的是 5.7.39 和较早版本以及 8.0.16 和较早版本。可轻松利用的漏洞允许低权限攻击者通过多种协议进行网络访问,从而破坏 MySQL Server。成功攻击此漏洞可导致对 MySQL Server 可访问数据子集进行未经授权的读取访问。CVSS 3.1 基本分数 4.3(机密性影响)。CVSS 向量:
(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)。
(CVE-2022-21589)
- Oracle MySQL 的 MySQL Server 产品中存在漏洞(组件:Server: Packaging (cURL))。支持的版本中受影响的是 5.7.41 和较早版本以及 8.0.32 和较早版本。可轻松利用的漏洞允许未经身份验证的攻击者通过多种协议进行网络访问,从而破坏 MySQL Server。
成功攻击此漏洞可导致在未经授权的情况下访问重要数据,或完整访问所有可供访问的 MySQL Server 数据。CVSS 3.1 基本分数 7.5(机密性影响)。CVSS 向量:
(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)。
(CVE-2022-43551)
- Oracle Communications 的 Oracle Communications Network Analytics Data Director 产品中存在漏洞(组件:安装/升级 (Kerberos))。支持的版本中受影响的是 23.1.0。攻击此漏洞的难度较低,通过 HTTP 访问网络的低权限攻击者可利用此漏洞入侵 Oracle Communications Network Analytics Data Director。
如果攻击成功,攻击者可接管 Oracle Communications Network Analytics Data Director。CVSS 3.1 基本分数 8.8 (机密性、完整性和可用性影响)。CVSS 向量:
(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)。
(CVE-2022-42898)
- Oracle Fusion Middleware 的 Oracle Outside In Technology 产品中存在漏洞(组件:第三方 (SQLite))。支持的版本中受影响的是 8.5.6。攻击此漏洞的难度较小,登录 Oracle Outside In Technology 执行所在基础架构的低权限攻击者可以利用该漏洞入侵 Oracle Outside In Technology。若攻击成功,攻击者可在未经授权的情况下创建、删除或修改关键数据或 Oracle Outside In Technology 的所有可访问数据,并且未经授权即可访问关键数据或完整访问 Oracle Outside In Technology 的所有可访问数据,同时未经授权造成 Oracle Outside In Technology 局部拒绝服务(部分 DOS)。CVSS 3.1 基本分数 7.3 (机密性、完整性和可用性影响)。
CVSS 向量:
(CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L)。
(CVE-2022-46908)
- Oracle Communications 的 Oracle Communications Diameter Signaling Router 产品中存在的漏洞(组件:平台(微码控制器))。支持的版本中受影响的是 8.6.0.0。攻击此漏洞的难度较小,登录 Oracle Communications Diameter Signaling Router 执行所在基础架构的低权限攻击者可利用该漏洞入侵 Oracle Communications Diameter Signaling Router。若攻击成功,攻击者可在未经授权的情况下访问关键数据,或完整访问所有的 Oracle Communications Diameter Signaling Router 可访问数据。CVSS 3.1 基本分数 5.5(机密性影响)。CVSS 向量:
(CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N)。
(CVE-2022-21123)
- Oracle PeopleSoft 的 PeopleSoft Enterprise PeopleTools 产品中的漏洞(组件:移植(加密))。支持的版本中受影响的是 8.59 和 8.60。攻击此漏洞的难度较小,通过 HTTPS 访问网络的未经身份验证的攻击者可利用此漏洞入侵 PeopleSoft Enterprise PeopleTools。
若攻击成功,攻击者可在未经授权的情况下更新、插入或删除部分 PeopleSoft Enterprise PeopleTools 可访问数据,并且可在未经授权的情况下造成 PeopleSoft Enterprise PeopleTools 部分拒绝服务(部分 DOS)。CVSS 3.1 基本分数 6.5(完整性和可用性影响)。CVSS 向量:
(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L)。
(CVE-2023-23931)
- Oracle PeopleSoft 的 PeopleSoft Enterprise PeopleTools 产品中的漏洞(组件:移植 (Python setuptools))。支持的版本中受影响的是 8.59 和 8.60。攻击此漏洞的难度较大,通过 HTTP 访问网络的未经身份验证的攻击者可利用此漏洞入侵 PeopleSoft Enterprise PeopleTools。若攻击成功,攻击者可在未经授权的情况下造成 PeopleSoft Enterprise PeopleTools 挂起或频繁出现重复性崩溃(完全 DOS)。
CVSS 3.1 基本分数 5.9(可用性影响)。CVSS 向量:(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H)。
(CVE-2022-40897)
解决方案
从 Oracle 支持网站安装 jul2023 CPU。另见
https://support.oracle.com/epmos/faces/DocumentDisplay?id=2960446.1
https://www.oracle.com/docs/tech/security-alerts/cpujul2023cvrf.xml
插件详情
严重性: Critical
ID: 178627
文件名: solaris_jul2023_SRU11_4_57_144_3.nasl
版本: 1.4
类型: local
发布时间: 2023/7/20
最近更新时间: 2023/11/16
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: Medium
基本分数: 6.4
时间分数: 5.3
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:P
CVSS 分数来源: CVE-2022-28805
CVSS v3
风险因素: Critical
基本分数: 9.1
时间分数: 8.4
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
时间矢量: CVSS:3.0/E:F/RL:O/RC:C
漏洞信息
CPE: cpe:/o:oracle:solaris
必需的 KB 项: Host/local_checks_enabled, Host/Solaris11/release
可利用: true
易利用性: Exploits are available
补丁发布日期: 2023/7/18
漏洞发布日期: 2021/11/15
参考资料信息
CVE: CVE-2021-43618, CVE-2022-2097, CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166, CVE-2022-21589, CVE-2022-21592, CVE-2022-21608, CVE-2022-21617, CVE-2022-28805, CVE-2022-33099, CVE-2022-39348, CVE-2022-40897, CVE-2022-42898, CVE-2022-43551, CVE-2022-43552, CVE-2022-44617, CVE-2022-44792, CVE-2022-44793, CVE-2022-46285, CVE-2022-46663, CVE-2022-46908, CVE-2022-47016, CVE-2022-48303, CVE-2022-4883, CVE-2023-0494, CVE-2023-1161, CVE-2023-22023, CVE-2023-23931, CVE-2023-27320, CVE-2023-28486, CVE-2023-28487, CVE-2023-31284
IAVA: 2023-A-0370-S