Oracle製品にゼロデイの脆弱性報告

Oracleのデータベース製品でカーソル処理に関連した脆弱性が存在するという情報を研究者が公表。Oracleは「無責任だ」と反発している。

[ITmedia]

　Oracleのデータベース製品でカーソル処理に関連した脆弱性が存在するとして、セキュリティ研究者がこの問題について解説した論文を公開した。

　論文を執筆したのは英Next Generation Security Software（NGSSoftware）のデビッド・リッチフィールド氏。過去にもOracle製品に関する脆弱性情報を、Oracleがパッチをリリースする前に公表したことがある。

　今回の論文では、DBMS_SQLで作成／利用したカーソルを閉じなかったり、例外的に開いたカーソルを放置した場合に発生するセキュリティ問題を指摘した。権限の低いユーザーが、アプリケーションロジックから外れてこのカーソルを利用することができてしまい、データ流出を招く恐れがあるとしている。

　こうしたゼロデイ脆弱性情報について、Oracleは11月27日付の公式セキュリティブログで「フィックスを提供する前に脆弱性の存在を公表してしまうセキュリティ研究者は信頼できない」と批判。このような行為は顧客を不必要な攻撃リスクにさらすもので無責任だと反発している。

　Oracle製品のセキュリティをめぐっては、アルゼンチンのセキュリティ企業Argenissも、12月中に「Oracleデータベースバグ週間」を設けて毎日1件ずつ脆弱性情報を公開すると予告していた。しかしその後、このプロジェクトは「多くの問題のため」中止になったと同社サイトで告知している。