【1】 BizTalk Server 2000/2002にセキュリティ・ホール
【2】 MacromediaのColdFusionにインストールしたパスが分かる問題
【3】 Opera for WindowsのJavaScriptコンソールにスクリプト注入のセキュリティ・ホール
【4】 Opera for Windowsにサービス拒否攻撃を受ける問題
【5】 Oracleデータベース・サーバーにバッファ・オーバーフローの弱点



【1】 BizTalk Server 2000/2002にセキュリティ・ホール

 Microsoft BizTalk Server 2002および同2000に2つの新しいセキュリティ・ホールが見付かった。1つ目はBizTalk 2002で任意のコードを実行される恐れがあるというもの。2つ目はBizTalk 2002と同2000の両方が対象で「ドキュメント・トラッキング管理(DTA)」という機能が使うページのいくつかにSQLインジェクションの弱点があるというもの。マイクロソフトは,セキュリティ情報「BizTalk Server用の累積的な修正プログラム(815206)(MS03-016)」を公開して弱点のあるシステムにすぐ適切なパッチを適用するように勧めている。

【英文情報】 http://www.secadministrator.com/articles/index.cfm?articleid=38855

【マイクロソフトの日本語情報】 http://www.microsoft.com/japan/technet/security/bulletin/MS03-016.asp

【2】 MacromediaのColdFusionにインストールしたパスが分かる問題

 Macromedia ColdFusion MX Serverをインストールしたデフォルトの状態では,不注意でこの製品がある物理的なパスが分かってしまう問題があることが分かった。デフォルトで「Enable Robust Exception Information」設定がオンになるため。Macromediaはこの設定をクリアするように指示している。

【英文情報】 http://www.secadministrator.com/articles/index.cfm?articleid=38848

【3】 Opera for WindowsのJavaScriptコンソールにスクリプト注入のセキュリティ・ホール

 WebブラウザOpera for Windowsにローカル・コンピュータ・ゾーンで任意のスクリプトを実行されるセキュリティ上の弱点が見付かった。Opera 7.xのconsole.htmlファイルの中にあるコードがシングル・クォーテーション・マークを扱う方法に問題がある。悪用すると,Microsoft JavaScriptコンソールに関するリンクの中に任意のスクリプトを挿入できる。Opera Softwareはこの問題にまだ対応していない。

【英文情報】 http://www.secadministrator.com/articles/index.cfm?articleid=38849

【4】 Opera for Windowsにサービス拒否攻撃を受ける問題

 WebブラウザOpera for Windowsのいくつかのバージョンにサービス拒否(DoS)攻撃を受ける問題が見付かった。ヒープ上に未チェックのバッファがあるとともに,ファイル名の長さのチェックに問題があるため。Opera Softwareはまだこの問題に対応していない。

【英文情報】 http://www.secadministrator.com/articles/index.cfm?articleid=38850

【5】 Oracleデータベース・サーバーにバッファ・オーバーフローの弱点

 Oracleデータベース・サーバーにバッファ・オーバーフローの弱点が見付かった。悪用するには,CREATE DATABASE LINKクエリーとともに接続文字列として長いパラメータを付ければよい。Oracleはこの問題に対処するパッチをリリースしている。

【英文情報】 http://www.secadministrator.com/articles/index.cfm?articleid=38825

【日本オラクルのセキュリティ情報】 http://otn.oracle.co.jp/security/