研究者は4月の定例アップデートで脆弱性が修正されたと思い込み、詳しい情報を公開してしまったという。
米Oracleが4月17日に公開した定例クリティカルパッチアップデート(CPU)をめぐり、データベースの脆弱性情報を提供した研究者とOracleとの間で情報の行き違いが発生、実際には脆弱性が修正されていないにもかかわらず、修正されたと思い込んだ研究者が詳しい情報や攻撃方法などを公開してしまう事態が起きた。
米セキュリティ機関のSANS Internet Storm Centerなどによると、問題の脆弱性はOracle Database Serverの「TNS Listener」というコンポーネントに存在するもので、この研究者が2008年にOracleに報告していた。
研究者は、Oracleが17日に公開したCPUの中に情報提供者として自分の名があったことなどから、この脆弱性が解決されたと考え、翌18日にセキュリティメーリングリストのFull Disclosureに寄せた投稿で詳しい情報を公開。コンセプト実証コードと併せ、この脆弱性を突いて攻撃を仕掛ける方法についても解説した。
ところがその後、Oracleに確認したところ、実際にはこの脆弱性が修正されていなかったことが判明した。Oracleは研究者に対し、修正すれば安定性に問題が生じていた可能性があると説明、CPUではなく今後のリリースで対応する方針を示したという。
これにより、Oracle Databaseは現行バージョンに未解決の深刻な脆弱性があることが公になった形だ。しかもコンセプト実証コードまで公開されており、悪用されればリモートからのコード実行に利用される恐れがあるという。
研究者は26日付のFull Disclosureへの投稿でこの経緯を紹介し、攻撃を防ぐための回避策についても解説。Oracleデータベースのユーザーは自衛策を講じてほしいと呼び掛けている。
Copyright © ITmedia, Inc. All Rights Reserved.