2003年07月28日(月) 00時00分

Oracle 製品に3つのセキュリティホール（japan.internet.com）

Oracle (NASDAQ:ORCL) のソフトウェア製品に3つの脆弱性がみつかり、同社はそれぞれに対し修正プログラムを公開した。

最も深刻度の高い脆弱性 (PDF ファイル) は、CGI として実装している『Oracle Applications Web Report Review』(FNDWRR) という機能に存在し、バッファオーバフローを引き起こす可能性があるという。攻撃者が悪用すれば、プロセスを支配下に置きサーバー上で任意のプログラムコード実行が可能になる。

同社は、「Web ブラウザを用いて極端に長い URL を送ることで、遠隔的にバッファオーバフローを引き起こすことができる」として、直ちに修正プログラムを適用するよう警告している。同脆弱性の影響を受けるのは、『Oracle E-Business Suite 11i』の Release 1 から Release ８までと、ならびに『Oracle Applications』の全バージョンとなっている。

2つめは、セキュリティ調査会社の NGS Software が発見したもので、データベース製品『Oracle 8i』および『9i』に、バッファオーバフローを引き起こす脆弱性 (PDF ファイル) が存在する。

こちらも修正プログラムは公開済みで、CREATE LIBRARY および CREATE ANY LIBRARY の両 SQL 関数のバッファオーバフローに関して対策を施している。同社は「これらの機能へのアクセス権限をもつユーザーなら誰でも、この脆弱性を突いてデータベースサーバー上で任意のプログラムコードを実行できる」と警告した。

最後は、Oracle E-Business Suite 11i および Oracle Applications の全バージョンに存在する脆弱性 (PDF ファイル) で、サーバーの機密情報が漏れる危険があるという。

セキュリティ会社の Integrigy がみつけた同脆弱性は、『OA Framework Test Suite』に含まれる「aoljtest.jsp」スクリプトに複数存在し、悪意のある攻撃者は、ゲストユーザーのパスワードやアプリケーションサーバーのセキュリティキーなどを含むシステム情報にアクセスできる。

同社が公開した修正プログラムでは、認証ユーザーしか aoljtest.jsp にアクセスできないよう、アクセスを制限する。



関連記事

Microsoft、低位 API の『DirectX』に最大深刻度の脆弱性

Siebel が第2四半期決算発表、あわせて再編策も

豊田通商、Oracle E-Business Suite で新人事システムを構築

PeopleSoft が J.D. Edwards 買収を完了

オラクル、企業向けコラボレーション製品の新バージョンを発表

http://japan.internet.com/webtech/20030728/11.html