米CERT/CC[用語解説]は米国時間3月14日,Oracle 8i/9i,Oracle 9i Application Server(Oracle 9iAS)に最近見つかった複数のセキュリティ・ホール[用語解説]を改めて警告した。セキュリティ・ホールを悪用されると,サーバー上で任意のコマンドやコードを実行されたり,サーバーをダウンさせられたり,データベース内の情報を盗み見られたりする恐れがある。ベンダーが公開している修正パッチ[用語解説]や設定を適用すれば,影響を回避できる。
発見されているセキュリティ・ホールの数は多く,その種類も「バッファ・オーバーフロー[用語解説]」,「不適切なデフォルト設定[用語解説]」,「アクセス・コントロール[用語解説]の不具合」などと多岐にわたる。
例えば,Oracle 9iASにバンドルされるPL/SQLモジュール[用語解説]は,ある特定のデータを入力されるとバッファ・オーバーフローを引き起こす。その結果,サーバー上で任意のコードを実行される恐れがある。
また,Oracle 9iASには,セキュリティ上問題があるデフォルト設定が多数存在する。例えば,特定のアプリケーションやデータへのアクセスが制限されていなかったり,特定のパスワードが設定されていたりする。
さらに,Oracle 9i のPL/SQLモジュールなどにはアクセス・コントロールの不具合があるため,権限がないユーザーに任意のコマンドやコードを実行される恐れがある。
対策は,ベンダーが公開しているパッチを適用することと,設定を適切に変更すること。米Oracle[用語解説]はもちろん,日本オラクルも情報やパッチを公開しているので,まだの管理者は早急に対策を施す必要がある。
英国のセキュリティ・ベンダーであるNext Generation Security Softwareが公開している「Hackproofing Oracle Application Server(A Guide to Securing Oracle 9)」(英語,PDF形式)なども参考になる。
◎参考資料
◆CERT Advisory CA-2002-08「Multiple vulnerabilities in Oracle Servers」(米CERT/CC)
◆Oracle9iASリリース1.0.2.2 SOAPのデフォルト設定におけるセキュリティ上の問題点(日本オラクル)
◆Oracle Security Alert #22「Security Implications of the Default Oracle9i Application Server v1.0.2.2 Configuration」(米Oracle,英語,PDF形式)
◆mod_plsql におけるセキュリティの問題(日本オラクル)
◆Oracle Security Alert #25「Vulnerabilities in MODPLSQL」(米Oracle,英語,PDF形式)
◆mod_plsqlとJSPのセキュリティに関する脆弱性(日本オラクル)
◆Oracle Security Alert #28「Oracle mod_plsql v3.0.9.8.2 in Oracle9i Application Server v1.0.2.x」など(米Oracle,英語,PDF形式)
◆外部プロシージャにおける潜在的なセキュリティに関する脆弱性(日本オラクル)
◆Oracle Security Alert #29「Oracle PL/SQL EXTPROC in Oracle9i Database Description」(米Oracle,英語,PDF形式)
◆Hackproofing Oracle Application Server(英Next Generation Security Software,英語,PDF形式)
