一般にソフトウエア・ベンダーは,セキュリティ・ホールとそれを悪用する検証コードの情報がベンダーの用意が整う前に公表されることに,難色を示すものだ。通常,こうした情報は発見者側から漏れるものである。ところが米Oracleは4月第2週に,主力製品である「Oracle Database」に存在するセキュリティ・ホールの情報と検証用のコードを自ら流してしまった。
ドイツRed-Database-SecurityのCEO兼ビジネス・ディレクタであるAlexander Kornburst氏が,デンマークSecuniaの運営するセキュリティ系メーリング・リス「トFull-Disclosure」に投稿したメッセージによると,「Oracleが4月6日に『パッチ未適用のセキュリティ・ホールの詳細情報と実際に作動するテスト・コード』を同社の顧客向けWebサイトMetaLinkに掲載したと,Jens Flasche氏から知らされた」という。MetaLinkは,顧客に迅速な技術サポートと製品情報を提供する目的で,Oracleが運営しているポータル・サイトである。
Kornbrust氏は「この実際に作動するテスト・コードは,Oracle Databaseの9.2.0.0から10.2.0.3の全バージョンに対して使用可能な検証コードと同等」と述べた。問題のセキュリティ・ホールは,ベース・テーブル上の「SELECT Object権限」を持つユーザーがビューから行を消すことができるもので,Kornbrust氏によると,データの挿入や更新,権限の昇格を実行できる可能性もあるという。このセキュリティ・ホールをふさぐ修正パッチは,現在Oracleが開発している最中だ。
Kornbrust氏は,「(Metalinkで情報が公開されていることに)気づいてから,『この種の情報をMetalinkで流すことは賢明でない』と(Oracleのセキュリティ担当者に)連絡した。普段Oracleは,個人や企業がOracle製品のセキュリティ・ホールに関する情報を公表する行為に対し,批判をしているというのに…。今回は,Oracleがセキュリティ・ホールの詳細情報を公表しただけにとどまらず,実際に使える検証コードもMetalinkに存在していた」と語る。
Kornbrust氏は,「Metalinkに投稿されたことがOracleに伝わると,このセキュリティ・ホールの情報はすぐに削除された」と述べる。さらにKornbrust氏は,情報がMetalinkで入手可能になっていたため,今やこのセキュリティ・ホールは公になったとみる。そこで同氏は,このセキュリティ・ホールに関する情報の公開を決断した。そうすることで,Oracleから修正パッチがリリースされるまでの期間,リスク緩和につながる手段を管理者に提供できる。リスク緩和の情報は,Red-Database-SecurityのWebサイトに掲載してある。同社は,Oracle Database向けのセキュリティ・サービスとソリューションを専門的に手がけている企業だ。
