データベース管理者が今週リリースされたOracleの最新セキュリティパッチをインストールする理由が少し増えた。未パッチのデータベースサーバをクラッシュさせる可能性がある不正ソフトが出回っており、セキュリティ専門家は最近パッチが発行された89件の脆弱性を狙ったマルウェアがもっと出てくると予想している。
Full Disclosureメーリングリストで10月20日、Oracleのデータベースの特定のバージョンに含まれるバッファオーバーフローの脆弱性を突くコードが公開された。
このコードが、SQLインジェクションと呼ばれる手法を使ってデータベースをダウンさせるのに利用される恐れがあると独Red-Database-Securityのビジネスディレクター、アレクサンダー・コーンブラスト氏は語る。SQLインジェクション攻撃では、データベースと連係するWebアプリケーションをだまして、SQL言語を使って不正なデータベースクエリーを送らせる。
この不正コードは、未パッチのデータベースのユーザー証明書を持つ攻撃者か、インターネット経由でSQLインジェクションを仕掛けるリモート攻撃者により利用される可能性があるとコーンブラスト氏。「わたしが試してみたところ、このコードは機能した」と同氏はインスタントメッセージ(IM)による取材に応えて語った。「顧客にはこれらのパッチをできるだけ早く適用することを強く勧める」
Oracleは発表文の中で、データベースソフトのバージョン9iと10gが問題のバグの影響を受けると述べているが、コーンブラスト氏によると、Full Disclosureで公開されたコードは10gにのみ影響するという。
Oracleは18日、データベースとアプリケーションサーバ、一部のPeopleSoftとJ.D.Edwardsアプリケーションの89件のバグを修正するセキュリティパッチをリリースした。同社はセキュリティアップデートプログラムの一環として、3カ月おきにセキュリティパッチをリリースしている。
通常は、Oracleが毎回セキュリティアップデートをリリースした後に、2〜3の脆弱性実証コードが出回っているとコーンブラスト氏。
問題のバッファオーバーフローの脆弱性は、このページで脆弱性DB27として説明されている。
Oracleにコメントを求めたが、返答は得られなかった。
Copyright(C) IDG Japan, Inc. All Rights Reserved.
Special
PR