Oracleデータベースの脆弱性突くエクスプロイトが公開

Oracle Database 10g R2のエクスプロイトが公開。有効な回避策はないという。次回の四半期パッチは2008年1月15日のリリースになる。

[ITmedia]

　Oracle Database Serverの脆弱性を突いたエクスプロイトコードが公開されたとして、US-CERTが11月9日、注意を促した。

　US-CERTによれば、この脆弱性を悪用されると、認証された攻撃者がリモートで任意のコードを実行することが可能になる。

　セキュリティ企業iDefenseのアドバイザリーによると、この問題は2007年2月にOracleに通報済みで、11月2日になってエクスプロイトコードが公開されたという。

　脆弱性はOracle Database 10g R2の「XDB.XDB_PITRIG_PKG.PITRIG_DROPMETADATA」プロシージャに関するバッファオーバーフロー問題に起因する。2月の時点ですべてのパッチを適用済みのDatabase 10g R2で確認され、それより前のバージョンも影響を受ける可能性があるとしている。有効な回避策は存在しないという。

　Oracleからは、メインコードラインでこの問題を修正し、今後のパッチアップデートで公開予定だとの回答が寄せられたという。なお、Oracleの次回の四半期パッチは2008年1月15日にリリース予定。