• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

Oracle製品にパッチ未公開のセキュリティ・ホール,米US-CERTが警告

勝村幸博 2005/07/22 ITpro

 米US-CERTは米国時間7月21日,米Oracleの製品に見つかった複数のセキュリティ・ホールを警告した。いくつかのセキュリティ・ホールについてはOracleがパッチを公開しているものの,パッチ未公開のセキュリティ・ホールがインターネット上で公表されているという。同社製品の管理者は注意したい。

 Oracleは米国時間7月12日,同社のDatabase ServerやApplication Serverなどのセキュリティ・ホールをふさぐ“定例”パッチを公開した(関連記事)。同社では2005年以降,同社製品のセキュリティ・パッチを四半期ごと(1月18日,4月12日,7月12日,10月18日)にまとめて提供している(関連記事)。

 だが,定例パッチの公開後,ドイツのセキュリティ・ベンダーRed-Database-Securityが,「Oracle Reports」および「Oracle Forms」に見つかったパッチ未公開のセキュリティ・ホールを公表した。Oracle Reportsはレポーティング・ツール,Oracle Formsはアプリケーションの開発環境であり,いずれも同社のApplication ServerやOracle Developer Suiteなどに含まれる。

 Red-Database-Securityが公表したセキュリティ・ホールは6種類。いずれも,同社がOracleに報告してから600日以上経過しているという。最も危険なセキュリティ・ホールを悪用されると,Oracle ReportsあるいはOracle Formsが稼働するマシン上で任意のコマンドを実行される可能性がある。

 Oracleからはパッチが公開されていないので,アクセス制御などで影響を回避する(攻撃を受けないようにする)必要がある。Red-Database-SecurityやデンマークSecuniaなどは,「Oracle ReportsあるいはOracle Formsが稼働するマシンに攻撃用のデータが送り込まれないように,プロキシやファイアウオールなどでURLフィルタリングを実施する」「信頼できるユーザー以外はアクセスできないようにする」「信頼できないユーザーからのファイルのアップロードを許可しない」――といった回避策を公開している。

 しかしながら,US-CERTやOracleでは,これらの回避策でセキュリティ・ホールの影響を全く受けないようにできるかどうかは確認していないという。また,回避策を実施する際には,現在稼働しているシステムに影響を与えないことを確認するよう勧めている。

◎参考資料
Oracle Vulnerabilities(米US-CERT)
Published Security Alerts(ドイツRed-Database-Security)
Oracle Reports / Forms Multiple Vulnerabilities(デンマークSecunia)

(勝村 幸博=IT Pro)

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【GWスペシャル2017】

    試してみよう!五月病にならないGWの過ごし方

     五月病は、ゴールデンウイーク(GW)明けに発症する病気だ。うつ病に似たもので、抑うつや無気力、不安や焦りなどの症状が現れる。放っておくと出社できなくなることも。五月病にならないGWの過ごし方を、IT企業などで健康指導を行う保健師・金橋治美氏に聞いた。

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る