• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

Oracle製品にパッチ未公開のセキュリティ・ホール,米US-CERTが警告

勝村幸博 2005/07/22 ITpro

 米US-CERTは米国時間7月21日,米Oracleの製品に見つかった複数のセキュリティ・ホールを警告した。いくつかのセキュリティ・ホールについてはOracleがパッチを公開しているものの,パッチ未公開のセキュリティ・ホールがインターネット上で公表されているという。同社製品の管理者は注意したい。

 Oracleは米国時間7月12日,同社のDatabase ServerやApplication Serverなどのセキュリティ・ホールをふさぐ“定例”パッチを公開した(関連記事)。同社では2005年以降,同社製品のセキュリティ・パッチを四半期ごと(1月18日,4月12日,7月12日,10月18日)にまとめて提供している(関連記事)。

 だが,定例パッチの公開後,ドイツのセキュリティ・ベンダーRed-Database-Securityが,「Oracle Reports」および「Oracle Forms」に見つかったパッチ未公開のセキュリティ・ホールを公表した。Oracle Reportsはレポーティング・ツール,Oracle Formsはアプリケーションの開発環境であり,いずれも同社のApplication ServerやOracle Developer Suiteなどに含まれる。

 Red-Database-Securityが公表したセキュリティ・ホールは6種類。いずれも,同社がOracleに報告してから600日以上経過しているという。最も危険なセキュリティ・ホールを悪用されると,Oracle ReportsあるいはOracle Formsが稼働するマシン上で任意のコマンドを実行される可能性がある。

 Oracleからはパッチが公開されていないので,アクセス制御などで影響を回避する(攻撃を受けないようにする)必要がある。Red-Database-SecurityやデンマークSecuniaなどは,「Oracle ReportsあるいはOracle Formsが稼働するマシンに攻撃用のデータが送り込まれないように,プロキシやファイアウオールなどでURLフィルタリングを実施する」「信頼できるユーザー以外はアクセスできないようにする」「信頼できないユーザーからのファイルのアップロードを許可しない」――といった回避策を公開している。

 しかしながら,US-CERTやOracleでは,これらの回避策でセキュリティ・ホールの影響を全く受けないようにできるかどうかは確認していないという。また,回避策を実施する際には,現在稼働しているシステムに影響を与えないことを確認するよう勧めている。

◎参考資料
Oracle Vulnerabilities(米US-CERT)
Published Security Alerts(ドイツRed-Database-Security)
Oracle Reports / Forms Multiple Vulnerabilities(デンマークSecunia)

(勝村 幸博=IT Pro)

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【ニュース解説】

    物流ピンチを商機に、三井不動産がロボット倉庫

     三井不動産は2017年9月13日、倉庫業務を効率化するためのIT関連設備・機器、システムなどを紹介するショールームを千葉県船橋市の同社倉庫内に新設した。自動倉庫システムなど、ITを活用した16種類の設備や機器類を実演展示。コンサルティングも提供して物流業者や荷主企業の取り込みを図る考えだ。

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る