Oracle Database Server（2024 年 7 月 CPU）

high Nessus 插件 ID 202724

语言：

简介

远程主机受到多个漏洞影响

描述

远程主机上安装的 Oracle Database Server 版本受到 2024 年 7 月 CPU 公告中提及的多个漏洞影响。

- Netty 项目是一个事件驱动的异步网络应用程序框架。在低于 4.1.86.Final 的版本中，由于无限递归，在解析畸形构建的消息时可引发堆栈溢出错误。此问题已在 4.1.86.Final 版本中得到修补。除使用自定义 HaProxyMessageDecoder 外，没有其他变通方案。(CVE-2022-41881)

- Netty 项目是一个事件驱动的异步网络应用程序框架。从版本 4.1.83.Final 到 4.1.86.Final 之前的版本开始，当通过 _iterator_ 调用 `DefaultHttpHeadesr.set` 时，未执行标头值验证，这允许迭代器中的恶意标头值执行 HTTP 响应拆分。此问题已在 4.1.86.Final 版本中得到修补。集成商可通过将值的迭代器中 `DefaultHttpHeaders.set(CharSequence, Iterator<?>)` 调用更改为 `remove()` 调用，并循环调用 `add()` 来解决此问题。(CVE-2022-41915)

- 在 Python ssl 模块中发现一个缺陷，其中 ssl.SSLContext 方法 cert_store_stats() 和 get_ca_certs() 存在内存争用条件问题。如果在将证书加载到 SSLContext 中的同时调用这些方法（例如，在配置了证书目录的情况下进行 TLS 握手期间），可能会触发争用条件问题。此问题已在 CPython 3.10.14、3.11.9、3.12.3 和 3.13.0a5 中解决。(CVE-2024-0397)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。