「修正を期待していたのに」――セキュリティ研究者がOracle製品の脆弱性を公表

セキュリティ研究者がOracle製品の脆弱性の存在を明らかにした。「1月の定例アップデートで修正されることを期待していた」とこの研究者は述べている。

» 2006年01月27日 19時40分 公開
[高橋睦美ITmedia]

 「Oracle製品に含まれるコンポーネントに深刻な脆弱性が存在する」――セキュリティ研究者のデビッド・リッチフィールド氏は1月25日、セキュリティ関連メーリングリストにこのような投稿を行い、まだ修正されていない脆弱性の存在を明らかにした。

 リッチフィールド氏は英Next Generation Security Software(NGSSoftware)のセキュリティ専門家。これまでもたびたび、Oracleをはじめとするデータベース製品の脆弱性を指摘してきた。

 Oracleは1月17日に、数十種類に上る脆弱性を修正する四半期ごとの定例アップデートをリリースしている。その中にはリッチフィールド氏が指摘した別の脆弱性もいくつか含まれていた。

 今回公にされた脆弱性は、「Oracle 9i Application Server/Oracle Application Server 10g」と「Oracle HTTP Server」に含まれる「Oracle PLSQL Gateway」コンポーネントに存在する。Webサーバ経由で背後のデータベースが攻撃を受け、排他制限をかいくぐってデータベースのフル管理者権限を奪われる可能性があるという。

 Oracleによる正式なパッチは存在しない。同氏は投稿の中で、mod_rewriteモジュールを用いてユーザーからのリクエストをチェックするという回避策を紹介している。

 リッチフィールド氏によると、この脆弱性は2005年10月26日にOracleに報告された。「問題の重大さから、Oracleは2006年1月のクリティカルパッチアップデート(CPU)で問題を修正するか、回避方法が提供されると期待していた。しかしOracleはそうしなかった」と同氏はメールの中で述べている。

 脆弱性情報については、ベンダーから責任ある対処策が提供されるまで公にすべきではない、という意見もある。しかしリッチフィールド氏は「次のCPUまでの3カ月(あるいはそれ以上)、ユーザーを脆弱なままにしておくことが妥当だとは思わない。とりわけ、この脆弱性は修正や回避策を取るのが容易なのだから」とメールに記し、Oracleの顧客に対し「支払いに見合うだけの対応を取るようOracleに電話すべき」と促している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ