エンタープライズ:ニュース 2003/07/24 21:51:00 更新


Oracle 9iなどにバッファオーバーフローのセキュリティホール

Oracleは米国時間の7月23日、「Oracle9i Release 2」「同Release 1」と「Oracle8i」にセキュリティホールが存在するとし、警告している。

 Oracle Database Serverにバッファオーバーフローの脆弱性が存在することが明らかになった。Oracleは米国時間の7月23日、「Oracle9i Release 2」「同Release 1」と「Oracle8i」にセキュリティホールが存在するとし、セキュリティアドバイザリを公開した。影響はSolaris版やAIX版、Linux版など広範に及ぶ。

 この問題は、Oracle Database ServerのEXTPROC機能(外部プロシージャ機能)に存在する。バッファオーバーフローを悪用することで、悪意あるユーザーに任意のコードを実行されてしまう可能性があるという。

 ただし同社の情報によると、このセキュリティホールを悪用するには、攻撃者が「CREATE LIBRARY」もしくは「CREATE ANY LIBRARY」の権限を持っている必要がある。このため同社は、この問題の危険性は低いとしている。

 解決策はパッチの適用だ。Oracleではバージョンやプラットフォームごとにパッチを提供している。また、CREATE LIBRARY/CREATE ANY LIBRARY権限を与えるのは必要最低限のユーザーに限り、もしこれらの権限が不必要ならばすべてのユーザーで無効にしてしまうことによっても、影響を緩和できるという。

 なおこれと同時に、「Oracle E-Business Suite 11i」と「Oracle Applications」にもバッファオーバーフローの問題が存在することが警告されている。FNDWRR CGIプログラムに問題があり、リモートからこの機能をサービス妨害(DoS)状態に追い込むことが可能だ。この問題についてもパッチが提供されている。

 これら2つの製品にはさらに、認証を経ることなくE-Business SuiteやOracle Applicationsの設定情報やホストシステムの診断情報を閲覧できてしまうというセキュリティホールも発見されている。このこと自体がシステムに悪影響を与えるわけではないが、その後の不正アクセスの足がかりとして悪用される可能性は高い。パッチが提供されているので、それを適用することでこの問題を解決できるという。

関連記事
▼セキュリティアラートへ

関連リンク
▼Oracle Security Alert 57: Buffer Overflows in EXTPROC of Oracle Database Server
▼Oracle Security Alert 56: Buffer Overflow Vulnerability in Oracle E-Business Suite
▼Oracle Security Alert 55: Unauthorized Disclosure of Information in Oracle E-Business

[ITmedia]



Special

- PR -

Special

- PR -