セキュリティ・ベンダー英NGSSoftwareは現地時間12月23日,同社が以前発見したOracle製品のセキュリティ・ホールの詳細を公表した。米Oracleからは米国時間8月31日にセキュリティ情報やパッチが公開されている(関連記事)。既にパッチを適用している場合には問題はないが,適用した覚えがない場合には改めて確認したい。
NGSSoftwareが発見し,Oracleから情報やパッチが公開されたセキュリティ・ホールは,Oracle 10g/9i/8iなどに関するもの(PDFファイル)。数が多く,危険なセキュリティ・ホールが複数含まれている。NGSSoftwareは,8月31日時点で同社が発見したことは公表したものの,セキュリティ・ホールの詳細については明らかにしてなかった。管理者に,パッチの検証や適用のための時間を与えるためだとしている。
8月31日時点では,同社は「3カ月の猶予期間を設ける」ということで,詳細の公表日を11月31日としていたが,実際には12月23日に公表した。
既にパッチを適用している場合には問題はないが,パッチを適用した覚えがない管理者は改めて確認したい。パッチは同社の「metalink」からダウンロードできる。
併せて同社は,IBM DB2のセキュリティ・ホールの詳細も公表した。こちらについても,同社が発見し,「12月1日までは詳細を明らかにしない」としていたもの。同製品の管理者は,パッチを適用していることを確認してほしい。
◎参考資料
◆Oracle Trigger Abuse (#NISR2122004I)
◆Oracle Character Conversion Bugs (#NISR2122004G)
◆Oracle extproc buffer overflow (#NISR23122004A)
◆Oracle extproc directory traversal (#NISR23122004B)
◆Oracle extproc local command execution (#NISR23122004C)
◆Oracle clear text passwords (#NISR2122004D)
◆Oracle ISQLPlus file access vulnerability (#NISR2122004E)
◆Oracle TNS Listener DoS (#NISR2122004F)
◆Oracle multiple PL/SQL injection vulnerabilities (#NISR2122004H)
◆Oracle wrapped procedure overflow (#NISR2122004J)
◆IBM DB2 rec2xml buffer overflow vulnerability (#NISR2122004J)
◆IBM DB2 generate_distfile buffer overflow vulnerability (#NISR2122004L)
(勝村 幸博=IT Pro)
