ITmedia エンタープライズ

エンタープライズ：ニュース

2003/11/10 18:16:00 更新

Oracle9i ASのPortalコンポーネントにSQL Injectionのセキュリティホール

Oracleのアプリケーションサーバ「Oracle9i Application Server」のポータル機能コンポーネント「Oracle9iAS Portal」にSQL Injectionのセキュリティホールが発見された。

　Oracleのアプリケーションサーバ「Oracle9i Application Server」にSQL Injectionのセキュリティホールが発見された。問題を発見したのはセキュリティ企業のNGSSoftware。Oracleではこれを受けて、セキュリティホールの修正を呼びかけるアドバイザリ（PDFファイル）を公開している。

　この問題は、Oracle9i Application Server（Oracle9iAS）のうち、企業ポータル機能を提供するコンポーネント「Oracle9iAS Portal」に存在する。プラットフォームに関係なく、Oracle9iAS Portal 3.0.9.8.5以前とOracle9iAS Portal 9.0.2.3.0以前に影響が及ぶと言う。

　具体的には、Oracle9iAS Portalに受け渡されるURLの中にSQL文を挿入（インジェクション）することによって、Oracle9iAS上に格納されたあらゆるデータへのアクセスが可能になる。つまり正当な権限を持たない攻撃者によって、リモートからSQLクエリを投げてOracle9iAS上の顧客データなどを閲覧されるおそれがある。

　Oracleのアドバイザリによると、Oracle9iAS PortalへのPUBLICアクセスを無効にするといった設定変更だけでは、完全にこの問題を回避することはできない。解決策はパッチの適用しかないといい、現在Oracle9iAS Portal 9.0.2.3.0およびOracle9iAS Portal 3.0.9.8.5用の個別パッチが提供されている。また次期リリースのPortal 9.0.4では、この問題は修正される予定。

関連リンク
日本オラクル（セキュリティ情報）
Next Generation Security Software Advisory

[ITmedia]