米CERT/CC は米国時間10月25日,米Oracle のアプリケーション・サーバー「Oracle9iAS(Applicatoin Server)」のキャッシュ機能「Oracle9iAS Web Cache」にセキュリティ・ホールがあることを警告した。すべてのプラットフォーム(OS)用の製品が対象となる。
セキュリティ・ホールの内容は,ある特定のHTTPリクエストを送信されると,Web Cacheがバッファ・オーバーフローを引き起こす恐れがあるというもの。その結果,Web Cacheの動作を妨害されたり,Web Cacheが動作するマシン上で任意のプログラムを実行されたりする可能性がある。対策は,パッチを適用することである。
Oracle9iAS Web Cache は,Oracle9iAS のR 1.0.2 から追加された機能(モジュール)で,アプリケーション・サーバー側にキャッシュ・サーバーを構築するためのもの。頻繁に要求される静的あるいは動的コンテンツをキャッシュしておくことで,レスポンス・タイムを短縮することが目的である。Oracle9iAS Enterprise Edition に含まれ,同ソフトと同時にインストールされる。
Web Cacheでは,キャッシュの起動や停止などの操作や設定を,Web ブラウザから行える。そのためのサービスを,以下のポートで提供している。
- 1100/tcp (incoming web cache proxy)
- 4000/tcp (administrative interface)
- 4001/tcp (web XML invalidation port)
- 4002/tcp (statistics port)
いずれのサービスにも今回のセキュリティ・ホールが存在するとともに,デフォルト設定で有効になっている。つまり,上記のいずれのポート(サービス)に対しても,今回のセキュリティ・ホールを突くような攻撃が可能である。
今回のセキュリティ・ホールを悪用されると,Oracle9iAS Web Cache の正常な動作を妨げられ,いわゆるDoS(Denial of Service)状態に陥る可能性がある。加えて,プラットフォームによっては,リモートから任意のプログラムを実行される恐れがある。さらに,Web Cacheが稼働するマシン内の情報を盗んだり,改ざんすることも可能である。同マシンと信頼関係を結んでいる他のシステムへ侵入することも可能となる。非常に深刻なセキュリティ・ホールである。
対策はパッチを適用すること。同社のサポート用Webサイト「Metalink」からダウンロードできる。ただし,同ページにログインするには,サポート対象ユーザーであることを示すパスワードが必要である。
米CERT/CC だけではなく,米Oracleも今回のセキュリティに関するPDF文書を公開している。また,セキュリティ関連のメーリング・リストである「Bugtraq」にも警告文書を投稿している。なお,同社は今回の投稿とほぼ同時期に,Oracleデータベースが影響を受ける2種類のセキュリティ・ホールについても警告している(「Oracle Trace Collection Security Vulnerability」,「Oracle File Overwrite Security Vulnerability」)。Oracleユーザーはチェックしておきたい。
◎参考文献
◆[CA-2001-29]Oracle9iAS Web Cache vulnerable to buffer overflow(米CERT/CC)
◆Oracle9iAS Web Cache Overflow Vulnerable(PDFファイル,米Oracle)◆Oracle9iAS Web Cache Overflow Vulnerability(米SecurityFocus)
◆Oracle Trace Collection Security Vulnerability(米SecurityFocus)
◆Oracle File Overwrite Security Vulnerability(米SecurityFocus)