米US-CERTは米国時間6月8日,米Oracleのアプリケーション・スイート製品「Oracle E-Business Suite」に見つかったセキュリティ・ホールを警告した。影響を受けるのは,E-Business Suite 11i(R11.5.1-R11.5.8)および同製品の前身である「Oracle Applications 11.0(全リリース)」。E-Business Suite 11i R11.5.9以降は影響を受けない。

 セキュリティ・ホールを悪用すると,リモートから権限を持たない第三者が任意のSQLをデータベース上で実行できてしまう。その結果,データベースの情報を読み取られたり,改変されたりしてしまう危険なセキュリティ・ホールである。対策はパッチを適用すること。パッチの入手方法は日本オラクルのページに詳しい。US-CERTの情報では,E-Business Suiteが備える認証機能ではセキュリティ・ホールを突いた攻撃を回避できないという。同製品の管理者はすぐにパッチを適用する必要がある。

 今回のセキュリティ・ホールは,ベンダーからは既に公表されている。例えば,Oracleからは米国時間6月3日付けで(PDFファイル),日本オラクルからは6月4日付けで情報が公開されている。US-CERTも米国時間6月4日付けで,「Vulnerability Note(脆弱性情報)」を公開しているが,セキュリティ・ホールの影響を重く見て,改めてアドバイザリを公開したものと考えられる。

 実際,Oracleは今回のセキュリティ・ホールの深刻度(Severity)は,最悪の「1」に設定している。同社の情報によると,「Severity:1」は,「非常にリスクが高く,あまり専門的な知識がなくても攻撃が可能であるもの。影響が及ぶ製品に対して緊急(最も高い優先度)にパッチの適用または回避策の実施が必要」なセキュリティ・ホールに対して設定するとしている

 ベンダーから情報が公開されてから時間が経過しているので,多くの管理者は既に対応済みだろうが,まだの管理者はすぐにパッチを適用する必要がある。

◎参考資料
SQL Injection Vulnerabilities in Oracle E-Business Suite(米US-CERT)
EBSの不正なアクセスに対する脆弱性 対応策(日本オラクル)
#67 : EBSの不正なアクセスに対する脆弱性 (対象バージョン: 11.0.x、11.5.1-11.5.8) (日本オラクル)
Unauthorized Access Vulnerabilities in Oracle E-Business Suite(米Oracle,PDFファイル)
Oracle E-Business Suite に SQL インジェクションの脆弱性(JPCERT/CC Vendor Status Notes)

(勝村 幸博=IT Pro)