米US-CERTは米国時間7月21日,米Oracleの製品に見つかった複数のセキュリティ・ホールを警告した。いくつかのセキュリティ・ホールについてはOracleがパッチを公開しているものの,パッチ未公開のセキュリティ・ホールがインターネット上で公表されているという。同社製品の管理者は注意したい。
Oracleは米国時間7月12日,同社のDatabase ServerやApplication Serverなどのセキュリティ・ホールをふさぐ“定例”パッチを公開した(関連記事)。同社では2005年以降,同社製品のセキュリティ・パッチを四半期ごと(1月18日,4月12日,7月12日,10月18日)にまとめて提供している(関連記事)。
だが,定例パッチの公開後,ドイツのセキュリティ・ベンダーRed-Database-Securityが,「Oracle Reports」および「Oracle Forms」に見つかったパッチ未公開のセキュリティ・ホールを公表した。Oracle Reportsはレポーティング・ツール,Oracle Formsはアプリケーションの開発環境であり,いずれも同社のApplication ServerやOracle Developer Suiteなどに含まれる。
Red-Database-Securityが公表したセキュリティ・ホールは6種類。いずれも,同社がOracleに報告してから600日以上経過しているという。最も危険なセキュリティ・ホールを悪用されると,Oracle ReportsあるいはOracle Formsが稼働するマシン上で任意のコマンドを実行される可能性がある。
Oracleからはパッチが公開されていないので,アクセス制御などで影響を回避する(攻撃を受けないようにする)必要がある。Red-Database-SecurityやデンマークSecuniaなどは,「Oracle ReportsあるいはOracle Formsが稼働するマシンに攻撃用のデータが送り込まれないように,プロキシやファイアウオールなどでURLフィルタリングを実施する」「信頼できるユーザー以外はアクセスできないようにする」「信頼できないユーザーからのファイルのアップロードを許可しない」――といった回避策を公開している。
しかしながら,US-CERTやOracleでは,これらの回避策でセキュリティ・ホールの影響を全く受けないようにできるかどうかは確認していないという。また,回避策を実施する際には,現在稼働しているシステムに影響を与えないことを確認するよう勧めている。
◎参考資料
◆Oracle Vulnerabilities(米US-CERT)
◆Published Security Alerts(ドイツRed-Database-Security)
◆Oracle Reports / Forms Multiple Vulnerabilities(デンマークSecunia)
(勝村 幸博=IT Pro)
