米Oracleは2月11日,Oracle9i/8i/8 Database SeverおよびOracle9i Application Server(AS)のセキュリティ・ホールをそれぞれ公開した。セキュリティ・ホールを悪用されると,サーバー上で任意のプログラムを実行される恐れがある。対策はパッチを適用すること。パッチの公開状況については同社が公開する情報に詳しい。【2月19日追記】このニュースを公開した2月19日14時時点では,日本オラクルは情報を公開していなかったが,19日21時現在,同社は日本語情報を公開している。回避策やパッチの入手方法などが詳細に説明されているので,同社の日本語情報を参考に対応してほしい。【追記ここまで】
Oracle Database Server に見つかったセキュリティ・ホールは以下の4種類である。
1. ORACLE.EXEのバッファ・オーバーフロー(PDFファイル)
2. TO_TIMESTAMP_TZファンクションのバッファ・オーバーフロー(PDFファイル)
3. TZ_OFFSETファンクションのバッファ・オーバーフロー(PDFファイル)
4. BFILENAMEファンクションのバッファ・オーバーフロー(PDFファイル)
影響を受けるのは,Oracle9i Database Release 1/2,Oracle8i Database v 8.1.7,Oracle8 v 8.0.6 である。いずれもプラットフォーム(OS)によらず影響を受ける。
セキュリティ・ホールを悪用されると,Oracle Database Serverが稼働する権限(UNIXでは「Oracle」,Windowsではローカル・システム)でリモートから任意のプログラムを実行される恐れがある。深刻なセキュリティ・ホールであり,Oracleは深刻度(Severity)を最悪の「1」に設定している。管理者は早急にパッチを適用して対応する必要がある。
Oracle9iASに見つかったセキュリティ・ホールは2種類。「DAV_PUBLIC」ディレクトリと「MOD_ORADAV」モジュールに関するセキュリティ・ホールである(PDFファイル)。DAV_PUBLICディレクトリのセキュリティ・ホールはOracle9iAS Release 9.0.2 が,MOD_ORADAVモジュールのセキュリティ・ホールについては Oracle9iAS Release 9.0.2 および Release 9.0.3が影響を受ける。いずれもプラットフォームによらず影響を受ける。
セキュリティ・ホールを悪用するようなリクエストをOracle9iASが稼働するサーバーへ送信すると,Oracle9iASを停止させられる恐れがある。なお,セキュリティ・ホールを発見した英Next Generation Security Softwareの情報によると,任意のプログラムを実行させることも可能であるとしている。
Oracleが設定した深刻度は「2」。対策はパッチを適用することである。
今回公開されたOracle Database SeverおよびOracle9iASのセキュリティ・ホールに関するパッチ情報の詳細については,Oracle の情報を参照してほしい。セキュリティ・ホールの詳細については,Next Generation Security Softwareが公開している。なお,日本オラクルのセキュリティ情報ページには今回のセキュリティ・ホールに関する情報は掲載されていない(2月19日現在)。
【2月19日追記】2月19日,日本オラクルは,Oracleが2月11日に公開したセキュリティ・ホールの日本語情報を同社サイトで公開した。【追記ここまで】
◎参考資料
◆Buffer Overflow in ORACLE.EXE binary of Oracle9i Database Server(米Oracle,PDFファイル)
◆Buffer Overflow in TO_TIMESTAMP_TZ function of Oracle9i Database Server(米Oracle,PDFファイル)
◆Buffer Overflow in TZ_OFFSET function of Oracle9i Database Server(米Oracle,PDFファイル)
◆Buffer Overflow in DIRECTORY parameter of Oracle9i Database Serve(米Oracle,PDFファイル)
◆Two Security Vulnerabilities in Oracle9i Application Server(米Oracle,PDFファイル)
◆Oracle Unauthenticated Remote System Compromise(英Next Generation Security Software)
◆Oracle TZ_OFFSET Remote System Buffer Overrun(英Next Generation Security Software)
◆Oracle TO_TIMESTAMP_TZ Remote System Buffer Overrun(英Next Generation Security Software)
◆Oracle bfilename Function Buffer Overflow Vulnerability(英Next Generation Security Software)
◆Oracle9i Application Server Format String Vulnerability(英Next Generation Security Software)
◆セキュリティ情報(日本オラクル)
(勝村 幸博=IT Pro)