Oracle Database Server（2025 年 4 月 CPU）

high Nessus 插件 ID 234618

语言：

简介

远程主机受到多个漏洞影响

描述

远程主机上安装的 Oracle Database Server 版本受到 2025 年 4 月 CPU 公告中提及的多个漏洞影响。

- Oracle Database Server 的 Oracle Database Grid (Apache Tomcat) 组件中的深层安全问题。无法在产品环境中利用此漏洞。(CVE-2025-24813)

- Oracle Database Server 的 Oracle Database (OpenSSL) 组件中的漏洞。支持的版本中受影响的是 23.4-23.7。利用此漏洞的难度较低，攻击者可借此以物理方式入侵 Oracle Database (OpenSSL)。攻击者若成功攻击此漏洞，则可在未经授权的情况下更新、插入或删除某些 Oracle Database (OpenSSL) 可访问的数据，以及对 Oracle Database (OpenSSL) 可访问数据的子集进行未授权的读取访问，并且可在未经授权的情况下造成 Oracle Database (OpenSSL) 部分拒绝服务（部分 DoS）。CVSS 3.1 基本分数 4.3（机密性、完整性和可用性影响）。(CVE-2024-9143)

- Oracle Database Server 的 Oracle Database SQLCl (EdDSA) 组件中的漏洞。支持的版本中受影响的是 23.4-23.7。利用此漏洞的难度较低，未经授权的攻击者可登录 Oracle Database SQLCl (EdDSA) 执行所在的基础架构，从而入侵 Oracle Database SQLCl (EdDSA) 。虽然此漏洞位于 Oracle Database SQLCl (EdDSA) 中，但攻击可能对其他产品造成重大影响（范围更改）。攻击者若成功攻击此漏洞，则可在未经授权的情况下更新、插入或删除某些 Oracle Database SQLCl (EdDSA) 可访问数据。(CVE-2020-36843)

- Oracle Database Server 的 Oracle Database (OpenSSL) 组件中的漏洞。支持的版本中受影响的是 23.4-23.7。利用此漏洞的难度较低，攻击者可借此以物理方式入侵 Oracle Database (OpenSSL)。攻击者若成功攻击此漏洞，则可在未经授权的情况下更新、插入或删除某些 Oracle Database (OpenSSL) 可访问的数据，以及对 Oracle Database (OpenSSL) 可访问数据的子集进行未授权的读取访问，并且可在未经授权的情况下造成 Oracle Database (OpenSSL) 部分拒绝服务（部分 DoS）。(CVE-2022-3786)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。