米Oracleは米国時間8月31日,同社のデータベース・サーバーやアプリケーション・サーバーおよびエンタープライズ・マネージャー製品にセキュリティ・ホールが見つかったことを明らかにした(PDFファイル)。セキュリティ・ホールを悪用されると,権限がないユーザーにサーバーの情報にアクセスされたり,DoS(サービス妨害)攻撃を受けたりする恐れがある。対策はパッチを適用すること。パッチは同社の「metalink」サイトからダウンロードできる。
今回セキュリティ・ホールが見つかったのは,以下の製品。
- Oracle Database 10g Release 1, version 10.1.0.2
- Oracle9i Database Server Release 2, versions 9.2.0.4/9.2.0.5
- Oracle9i Database Server Release 1, versions 9.0.1.4, 9.0.1.5/9.0.4
- Oracle8i Database Server Release 3, version 8.1.7.4
- Oracle Enterprise Manager Grid Control 10g, version 10.1.0.2
- Oracle Enterprise Manager Database Control 10g, version 10.1.0.2
- Oracle Application Server 10g (9.0.4), versions 9.0.4.0/9.0.4.1
- Oracle9i Application Server Release 2, versions 9.0.2.3/9.0.3.1
- Oracle9i Application Server Release 1, version 1.0.2.2
これらの製品を含む「Collaboration Suite」や「E-Business Suite 11i」といったスイート製品も影響を受ける。
同社では,セキュリティ・ホールを悪用された場合の具体的な被害を明らかにしていない。影響の大きさについては,Database ServerとApplication Serverに見つかったセキュリティ・ホールについては「High(高)」,Enterprise Managerについては「Medium(中)」としている。米US-CERTやデンマークSecuniaの情報によると,サーバーの情報を壊したり盗んだりするコードを実行される可能性があるという。また,DoS攻撃を受ける恐れもあるという。
Oracleの情報によると,今回見つかったすべてのセキュリティ・ホールに対する回避策(workaround)は存在しないので,早急にパッチを適用するよう強く勧めている。パッチは同社の「metalink」からダウンロードできる。パッチの詳細については,Oracleの情報を参照してほしい。
◎参考資料
◆Oracle Security Alert #68(米Oracle,PDFファイル)
◆Multiple Vulnerabilities in Oracle Products(米US-CERT)
◆Oracle Products Multiple Unspecified Vulnerabilities(デンマークSecunia)
(勝村 幸博=IT Pro)
