Vulnerabilidad en el componente Advanced Networking Option de Oracle Database Server (CVE-2021-2351)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-327
Uso de algoritmo criptográfico vulnerable o inseguro
Fecha de publicación:
21/07/2021
Última modificación:
16/02/2024
Descripción
Una vulnerabilidad en el componente Advanced Networking Option de Oracle Database Server. Las versiones compatibles que están afectadas son 12.1.0.2, 12.2.0.1 y 19c. Una vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso a la red por medio de Oracle Net comprometer a advanced Networking Option. Los ataques con éxito requieren una interacción humana de una persona diferente del atacante y, mientras la vulnerabilidad se encuentra en Advanced Networking Option, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Advanced Networking Option. Nota: La actualización de parches críticos de julio de 2021 introduce una serie de cambios en el Cifrado de Red Nativo para hacer frente a la vulnerabilidad (CVE-2021-2351 y prevenir el uso de cifrados más débiles. Los clientes deben revisar: "Changes in Native Network Encryption with the July 2021 Critical Patch Update" (Doc ID 2791571.1). CVSS 3.1 Puntuación Base 8.3 (Impactos en la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H)
Impacto
Puntuación base 3.x
8.30
Gravedad 3.x
ALTA
Puntuación base 2.0
5.10
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:oracle:advanced_networking_option:12.1.0.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:advanced_networking_option:12.2.0.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:advanced_networking_option:19c:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:agile_engineering_data_management:6.2.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:agile_plm:9.3.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:agile_product_lifecycle_management_for_process:6.2.2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:agile_product_lifecycle_management_for_process:6.2.3.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:airlines_data_model:12.1.1.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:airlines_data_model:12.2.0.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:application_performance_management:13.4.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:application_performance_management:13.5.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:application_testing_suite:13.3.0.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:argus_analytics:8.2.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:argus_analytics:8.2.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:argus_analytics:8.2.3:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/165255/Oracle-Database-Protection-Mechanism-Bypass.html
- http://packetstormsecurity.com/files/165258/Oracle-Database-Weak-NNE-Integrity-Key-Derivation.html
- http://seclists.org/fulldisclosure/2021/Dec/19
- http://seclists.org/fulldisclosure/2021/Dec/20
- https://www.oracle.com/security-alerts/cpuapr2022.html
- https://www.oracle.com/security-alerts/cpujan2022.html
- https://www.oracle.com/security-alerts/cpujan2023.html
- https://www.oracle.com/security-alerts/cpujul2021.html
- https://www.oracle.com/security-alerts/cpujul2022.html
- https://www.oracle.com/security-alerts/cpuoct2021.html