米Oracleは先ごろ,四半期に1度提供するセキュリティ・アップデート・パッケージを公開した。このパッケージには膨大な数のセキュリティ修正が含まれており,自社製品のセキュリティを改善したいという同社の意志を直接反映したものだ。しかしながら,修正対象の不具合が大量だったことから,専門家のなかにはかえって同社製品のセキュリティ強度を再考する人も出てきた。
また,少なくとも1件の重大なセキュリティ・ホールが,今回の四半期セキュリティ・アップデートで修正されずに残っている。英Next Generation Security Software(NGS)のDavid Litchfield氏によると,この「Oracle PLSQL Gateway」コンポーネント内にある重大な欠陥の影響で,データベース管理バックエンド・システムが侵入者の思い通りに制御される可能性があるという。
Litchfield氏は,彼が「脆弱なシステムを保護する自明な回避策」と呼ぶものについて説明してくれた。この回避策では,ApacheベースのOracle製Webサーバー・プラットフォームに含まれる「mod_rewrite」モジュールを使う。「管理者は以下に示す4行のコードをWebサーバーのhttpd.confファイルに挿入し,このコードが有効になるようWebサーバーを再起動すればよい。そうすれば,セキュリティ・ホールをふさげる」(Litchfield氏)。
RewriteEngine on
RewriteCond %{QUERY_STRING} ^.*\).*|.*%29.*$
RewriteRule ^.*$ http://127.0.0.1/denied.htm?attempted-attack
RewriteRule ^.*\).*|.*%29.*$ http://127.0.0.1/denied.htm?attempted-attack
「Oracleは,このセキュリティ・ホールの報告を2005年10月26日に受けた。重大な欠陥であったので,(最新の四半期セキュリティ・アップデートで)修正プログラムなり回避方法が出てくると思われていた。同社が次の四半期セキュリティ・アップデートがリリースされるまで,さらに3カ月,おそらくもっと長い期間,セキュリティ・ホールが残されるなんて思わなかった。このバグは修正するのも回避するのもとても簡単なのだから」(Litchfield氏)
Oracleは2005年12月に,自社のソフトウエア開発プロセスに米Fortify Softwareのセキュリティ分析ツールを導入すると発表した。Fortify Softwareのツールを使うと,ソースコード内でセキュリティ上の問題になりそうな部分の検査,バッファ・オーバフローやSQLインジェクションといった攻撃に対するさまざまな脆弱性試験,プロジェクト開発におけるセキュリティ関連作業の管理が行える。長期的には,公開するパッチの数の低減につながる。
もっともOracleの取り組みとは関係なく,セキュリティの監視を行う人々は,今後も既知のセキュリティ・ホールからシステムを保護するため,ベンダーの不十分な対応を補う活動を間違いなく続けることになるだろう。
