Oracleが対策を強く推奨――未解決の脆弱性情報の公開で

データベースに存在する未解決の脆弱性情報が公開されてしまった問題で、Oracleは攻撃を阻止するための対策などについて解説したセキュリティ情報を公開した。

» 2012年05月02日 07時20分 公開
[鈴木聖子,ITmedia]

 米Oracleのデータベースに存在する未解決の脆弱性情報を研究者が手違いで公開してしまったことを受け、同社はこの脆弱性を突いた攻撃を阻止するための対策などについて解説したセキュリティ情報を4月30日付でWebサイトに掲載した。

 セキュリティ情報によると、脆弱性はOracle Database Serverの「TNS Listener」というコンポーネントに存在する。影響を受けるのはOracle Database 11g Release 2(バージョン11.2.0.2/11.2.0.3)、11g Release 1(バージョン11.1.0.7)、10g Release 2(バージョン10.2.0.3/10.2.0.4/10.2.0.5)。また、Fusion MiddlewareとEnterprise Manager、E-Business Suiteにも脆弱性のあるコンポーネントが含まれることから、対処の必要があるという。

 この脆弱性は認証を経ずにリモートで悪用される恐れがあり、標的とされたデータベースが完全に制御される可能性もある。危険度を示すCVSSベーススコアは「7.5」(最大値は10.0)となっている。

 今回の問題では、脆弱性情報を提供した社外の研究者が、Oracleの定例クリティカルパッチアップデート(CPU)の中に情報提供者として自分の名があったことから脆弱性が修正されたと考え、コンセプト実証コードなども含めた詳しい情報を公開した。ところが後になって、実はこの問題が修正されていなかったことが発覚した。

 Oracleのブログによれば、同社は社外から脆弱性についての報告を受けた場合、まずメインコードラインでその問題を修正し、続いてCPUを通じてその修正をバックポートしている。しかし、場合によっては大量のコードの書き換えが必要になったりその修正が原因で重大な不具合が生じたりするなどの理由で、バックポートが困難なこともあるという。

 今回の脆弱性についても、こうした事情からCPUでの対処を見送り、今後のリリースで対応する方針とみられる。

 しかしそれまでの間に、研究者が公開したコンセプト実証コードなどを使った攻撃が発生する恐れもある。このためOracleのセキュリティ情報ではさまざまな導入形態を想定してこうした攻撃を防ぐための対策を解説。ユーザーはこの解説に従ってできるだけ早く設定を変更してほしいと強く促している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ